CVE-2026-41487 in Langfuse
요약
\~에 의해 VulDB • 2026. 05. 10.
Langfuse는 오픈 소스 대규모 언어 모델(LLM) 엔지니어링 플랫폼입니다. 버전 3.68.0부터 버전 3.167.0 이전까지 LLM 연결 업데이트 흐름에서 역할 기반 접근 제어(RBAC) 결함이 존재합니다. 프로젝트의 'member' 역할로 인증된 저권한 사용자는 기존 LLM 연결의 baseUrl을 공격자가 제어하는 주소로 업데이트하도록 요청할 수 있으며, 이로 인해 Langfuse가 저장된 제공자 시크릿을 재사용하여 테스트 요청을 공격자가 제어하는 엔드포인트로 리디렉션하게 됩니다. 이를 통해 해당 연결에 대한 평문 상태의 제공자 LLM API 키가 노출될 수 있습니다. 이 공격은 사용자가 이미 프로젝트 구성원이며 'member' 범위의 접근 권한을 가진 경우에만 가능합니다. 이 문제는 버전 3.167.0에서 패치되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.