CVE-2026-25750

Nome do Software Vulnerável e Versões Afetadas Langchain Helm Charts versões anteriores à 0.12.71

Descrição Os Langchain Helm Charts, usados para implantar aplicações Langchain no Kubernetes, apresentavam uma falha na qual um link especialmente criado poderia levar ao roubo de tokens de autenticação. Isso permitia que um atacante se passasse por um usuário e obtivesse acesso aos recursos LangSmith. O ataque exigia convencer um usuário a clicar em um link malicioso, transmitindo seu bearer token, ID do usuário e ID do workspace para um servidor controlado pelo atacante. Os tokens roubados eram válidos por aproximadamente 5 minutos. O problema afetava tanto o LangSmith Cloud quanto implantações auto-hospedadas. A vulnerabilidade decorreu da falta de validação do parâmetro baseUrl, permitindo que tokens fossem enviados para servidores não autorizados.

Recomendações Atualize para a versão 0.12.71 ou posterior para implementar validação que exija origens permitidas definidas pelo usuário para o parâmetro baseUrl.