Angus-Langchain

**Nome do Software Vulnerável e Versões Afetadas** Versões do LangSmith Client SDK anteriores a 0.6.3 Versões do LangSmith Client SDK anteriores a 0.4.6 **Descrição** O recurso de rastreamento distribuído do SDK LangSmith está suscetível a Falsificação de Solicitação do Lado do Servidor (SSRF) através da manipulação de cabeçalhos HTTP. Um invasor pode injetar valores arbitrários de `api url` via cabeçalho baggage, potencialmente fazendo com que o SDK transmita dados sensíveis de rastreamento — incluindo prompts e completamentos — para endpoints controlados pelo invasor. O SDK analisa cabeçalhos HTTP recebidos usando `RunTree.from headers()` em Python e `RunTree.fromHeaders()` em TypeScript, aceitando valores controlados pelo invasor nos campos `api url` e `api key` dentro do cabeçalho baggage sem validação. Após a conclusão de uma operação rastreada, os métodos `post()` e `patch()` do SDK transmitem dados de execução para todas as URLs de réplica configuradas, incluindo aquelas injetadas por um invasor. **Recomendações** Atualize o SDK Python para a versão 0.6.3 ou posterior. Atualize o SDK JavaScript para a versão 0.4.6 ou posterior.