CVE-2026-41487 in Langfuseinfo

Zusammenfassung

von VulDB • 14.05.2026

Langfuse ist eine Open-Source-Plattform für das Engineering von Large Language Models (LLMs). Ab Version 3.68.0 bis vor Version 3.167.0 besteht ein Fehler in der rollenbasierten Zugriffskontrolle (RBAC) im Ablauf zum Aktualisieren von LLM-Verbindungen. Ein authentifizierter Benutzer mit niedrigen Berechtigungen und der Rolle „Member“ in einem Projekt konnte die Aktualisierung einer bestehenden LLM-Verbindung auf eine vom Angreifer kontrollierte baseUrl anfordern, wodurch Langfuse das gespeicherte Anbietergeheimnis erneut verwendet und die Testanfrage an einen vom Angreifer kontrollierten Endpunkt umleitete. Dies könnte den Klartext-API-Schlüssel des LLM-Anbieters für diese Verbindung offenlegen. Der Angriff ist nur möglich, wenn ein Benutzer bereits Teil eines Projekts ist und über auf das Projekt beschränkte Zugriffsrechte („Member“) verfügt. Dieses Problem wurde in Version 3.167.0 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

20.04.2026

Veröffentlichung

08.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362291

CPE

bereit

EPSS

0.00036

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41487
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41487
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41487/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!