PT-2026-55945 · Langchain · Langsmith Client Sdks
Ryu7Zz
·
Publicado
2026-07-06
·
Atualizado
2026-07-06
·
CVE-2026-59152
CVSS v3.1
5.0
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
LangSmith Client SDKs versões anteriores a 0.8.18
Description
Existe um problema no
TracingMiddleware onde um invasor pode enviar uma requisição HTTP para um servidor para forçar a leitura de um arquivo arbitrário do sistema de arquivos local. O conteúdo do arquivo é então enviado para o LangSmith como um anexo de rastreamento. Dependendo da implantação do sistema de rastreamento distribuído, o acionamento dessa leitura pode não exigir autenticação. No entanto, a recuperação do conteúdo enviado requer acesso de leitura ao espaço de trabalho do LangSmith. Isso permite que um usuário com privilégios baixos no espaço de trabalho leia arquivos de qualquer servidor que execute o middleware, cruzando o limite de confiança pretendido.Recommendations
Atualize o LangSmith Client SDKs para a versão 0.8.18.
Correção
Type Confusion
Path traversal
Origin Validation Error
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Langsmith Client Sdks