LangChain LangSmith Studio URL参数注入漏洞

LangSmith Studio中的URL参数注入漏洞允许通过窃取的身份验证令牌未经授权访问用户账户。影响langchain-ai/helm 0.12.71版本之前的所有版本。

恶意链接可以从已认证的LangSmith用户中提取bearer令牌、用户ID和工作区ID，并将凭据传输到攻击者控制的服务器。

0.12.71版本之前的LangChain LangSmith Studio安装。

更新到langchain-ai/helm 0.12.71版本或更高版本。检查用户身份验证日志中的可疑访问模式。