Penjelasan teknis
Kerentanan injeksi parameter URL di LangSmith Studio memungkinkan akses tidak sah ke akun pengguna melalui token autentikasi yang dicuri. Mempengaruhi versi sebelum langchain-ai/helm versi 0.12.71.
Vektor serangan
Tautan berbahaya dapat mengekstrak bearer token, ID pengguna, dan ID workspace dari pengguna LangSmith yang terautentikasi, mengirimkan kredensial ke server yang dikendalikan penyerang.
Sistem yang terdampak
Instalasi LangChain LangSmith Studio sebelum versi 0.12.71.
Mitigasi
Perbarui ke langchain-ai/helm versi 0.12.71 atau lebih baru. Tinjau log autentikasi pengguna untuk pola akses yang mencurigakan.