LangSmith SDK TracingMiddleware: Arbitrary server-side file read — GHSA-F4XH-W4CJ-QXQ8
GitHub · GitHub · GHSA-F4XH-W4CJ-QXQ8
ID
GHSA-F4XH-W4CJ-QXQ8
GHSA-F4XH-W4CJ-QXQ8
Date
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
high
high
CVSS
7.7
7.7
Résumé
# Summary An attacker who can send an HTTP request to a server running the LangSmith SDK's `TracingMiddleware` can cause that server to read an arbitrary file from its local filesystem and upload the contents to LangSmith as a trace attachment. Depending on how the distributed trace system is deployed, triggering a read may not require authentication. Retrieving the contents requires read access to the LangSmith…
Produit
pip: langsmith
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.