CVE-2026-59152 in LangSmith SDK
Riassunto
di VulDB • 06/07/2026
I client SDK di LangSmith forniscono librerie per interagire con la piattaforma LangSmith. Prima della versione 0.8.18, un attaccante in grado di inviare una richiesta HTTP a un server che esegue il TracingMiddleware degli SDK di LangSmith può indurre tale server a leggere un file arbitrario dal proprio filesystem locale e caricarne i contenuti su LangSmith come allegato alla traccia (trace). A seconda della modalità di distribuzione del sistema di trace distribuite, l'attivazione della lettura potrebbe non richiedere autenticazione. Il recupero dei contenuti richiede comunque l'accesso in lettura allo spazio di lavoro (workspace) LangSmith a cui vengono inviate le tracce. L'effetto netto è una violazione del confine di fiducia (trust-boundary crossing): un soggetto con accesso alla lettura delle trace dello spazio di lavoro (ad esempio, un membro workspace a privilegi ridotti, un collaboratore esterno o l'account compromesso di un collega) ottiene la capacità di leggere file da qualsiasi server che esegue TracingMiddleware, una funzionalità esterna al confine di fiducia previsto per quello spazio di lavoro. Questa vulnerabilità è risolta nella versione 0.8.18.
If you want to get best quality of vulnerability data, you may have to visit VulDB.