LangSmith SDK: Public prompt pull deserializes untrusted manifests without trust boundary warning — CVE-2026-45134

Résumé

## Description The LangSmith SDK's prompt pull methods (`pull_prompt` / `pull_prompt_commit` in Python, `pullPrompt` / `pullPromptCommit` in JS/TS) fetch and deserialize prompt manifests from the LangSmith Hub. These manifests may contain serialized LangChain objects and model configuration that affect runtime behavior. When pulling a public prompt by `owner/name` identifier, the manifest content is controlled by…

Produit

pip: langsmith | npm: langsmith | pip: langchain-classic | pip: langchain

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

• Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
• Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
• Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
• Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

• Lire la source officielle
• CVE Record
• NVD

Avis associés