PT-2026-55945 · Langchain · Langsmith Client Sdks

Ryu7Zz

·

Publicado

2026-07-06

·

Atualizado

2026-07-06

·

CVE-2026-59152

CVSS v3.1

5.0

Média

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas LangSmith Client SDKs versões anteriores a 0.8.18
Description Existe um problema no TracingMiddleware onde um invasor pode enviar uma requisição HTTP para um servidor para forçar a leitura de um arquivo arbitrário do sistema de arquivos local. O conteúdo do arquivo é então enviado para o LangSmith como um anexo de rastreamento. Dependendo da implantação do sistema de rastreamento distribuído, o acionamento dessa leitura pode não exigir autenticação. No entanto, a recuperação do conteúdo enviado requer acesso de leitura ao espaço de trabalho do LangSmith. Isso permite que um usuário com privilégios baixos no espaço de trabalho leia arquivos de qualquer servidor que execute o middleware, cruzando o limite de confiança pretendido.
Recommendations Atualize o LangSmith Client SDKs para a versão 0.8.18.

Correção

Type Confusion

Path traversal

Origin Validation Error

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-59152

Produtos afetados

Langsmith Client Sdks