LangChain LangSmith Studio URLパラメータインジェクション脆弱性

LangSmith StudioのURLパラメータインジェクション脆弱性により、盗まれた認証トークンを通じて不正なユーザーアカウントアクセスが可能です。langchain-ai/helmバージョン0.12.71より前のバージョンが影響を受けます。

悪意のあるリンクは、認証されたLangSmithユーザーからベアラートークン、ユーザーID、ワークスペースIDを抽出し、認証情報を攻撃者が管理するサーバーに送信できます。

バージョン0.12.71より前のLangChain LangSmith Studioインストレーション。

langchain-ai/helmバージョン0.12.71以降に更新してください。ユーザー認証ログで疑わしいアクセスパターンを確認してください。