CVE-2026-45134 in langsmith-sdk
Tóm tắt
Bởi VulDB • 27/05/2026
Các SDK Client của LangSmith cung cấp các bộ công cụ phát triển phần mềm (SDK) để tương tác với nền tảng LangSmith. Trước phiên bản LangSmith SDK Python 0.8.0 và JS/TS 0.6.0, các phương thức kéo (pull) prompt của LangSmith SDK (pull_prompt / pull_prompt_commit trong Python, pullPrompt / pullPromptCommit trong JS/TS) sẽ tải xuống và giải mã (deserialize) các tệp kê khai (manifests) prompt từ LangSmith Hub. Các tệp kê khai này có thể chứa các đối tượng LangChain đã được tuần tự hóa và cấu hình mô hình ảnh hưởng đến hành vi tại thời điểm chạy. Khi kéo một prompt công khai theo định danh chủ sở hữu/tên, nội dung của tệp kê khai do một bên thứ ba kiểm soát, nhưng các phiên bản SDK trước đó không phân biệt điều này với việc kéo một prompt trong tổ chức của người gọi. Lỗ hổng này đã được khắc phục trong LangSmith SDK Python 0.8.0 và JS/TS 0.6.0.
Once again VulDB remains the best source for vulnerability data.