CVE-2026-41487

Nome do Software Vulnerável e Versões Afetadas Langfuse versões 3.68.0 até 3.166.0

Descrição Uma falha de controle de acesso baseado em funções existe no fluxo de atualização de conexão LLM. Um usuário autenticado com a função "member" em um projeto pode solicitar a atualização de uma conexão LLM existente, alterando o baseUrl para um controlado por um invasor. Isso faz com que o sistema reutilize o segredo do provedor armazenado e redirecione a solicitação de teste para o endpoint controlado pelo invasor, expondo potencialmente a chave de API LLM do provedor em texto simples para aquela conexão.

Recomendações Atualizar para a versão 3.167.0.