Berardinellidaniele

**Nome do Software Vulnerável e Versões Afetadas** LangSmith SDK Python versões anteriores a 0.8.0 LangSmith SDK JS/TS versões anteriores a 0.6.0 **Description** Os métodos de extração de prompt `pull prompt()` e `pull prompt commit()` em Python, e `pullPrompt()` e `pullPromptCommit()` em JS/TS, buscam e desserializam manifestos de prompt do LangSmith Hub. Esses manifestos podem conter objetos LangChain serializados e configurações de modelo que influenciam o comportamento de execução. Ao extrair um prompt público usando um identificador `owner/name`, o conteúdo é controlado por terceiros. Versões anteriores do SDK não diferenciavam esses prompts públicos daqueles dentro da própria organização do chamador, tratando-os como dados inertes em vez de configuração executável. Um invasor pode publicar um prompt malicioso no LangSmith Hub para afetar aplicações que o extraiam. Isso pode levar ao Server-Side Request Forgery (SSRF), redirecionamento de requisições externas e interceptação de tráfego de LLM se o manifesto configurar um cliente LLM com um `base url` ou proxy controlado pelo invasor. Além disso, pode permitir a injeção de prompt ou manipulação de comportamento por meio de mensagens de sistema ou parâmetros de modelo controlados pelo invasor. O risco aumenta quando `include model` é definido como `True`, pois expande a lista de permissões de desserialização para classes de integração de parceiros, ou quando `secrets from env` está habilitado, permitindo a leitura de variáveis de ambiente durante a desserialização. **Recommendations** Atualize o LangSmith SDK Python para a versão 0.8.0 ou posterior. Atualize o LangSmith SDK JS/TS para a versão 0.6.0 ou posterior. Como mitigação temporária, evite extrair prompts públicos por `owner/name` de fontes não confiáveis. Evite usar o parâmetro `secrets from env` ao extrair prompts não confiáveis. Prefira definir `include model` como `false` ao extrair prompts de fontes fora da organização.