Mustafabilgici

**Nome do Software Vulnerável e Versões Afetadas** Langfuse versões 3.68.0 até 3.166.0 **Descrição** Uma falha de controle de acesso baseado em funções existe no fluxo de atualização de conexão LLM. Um usuário autenticado com a função "member" em um projeto pode solicitar a atualização de uma conexão LLM existente, alterando o `baseUrl` para um controlado por um invasor. Isso faz com que o sistema reutilize o segredo do provedor armazenado e redirecione a solicitação de teste para o endpoint controlado pelo invasor, expondo potencialmente a chave de API LLM do provedor em texto simples para aquela conexão. **Recomendações** Atualizar para a versão 3.167.0.