anchore_overrides,nvd
Langfuse
Уязвимости
6
Эксплуатируемые
0
Критический
0
Высокий
1
Топ продуктов
Топ уязвимостей
CVE-2025-59305Некорректная авторизация в endpoints для фоновой миграции Langfuse 3.1 до d67b317 позволяет любому аутентифицированному пользователю вызывать функции контроля миграции. Это может привести к повреждению данных или отказу в обслуживании через несанкционированный доступ к TRPC endpoints, таким как backgroundMigrations.all, backgroundMigrations.status и backgroundMigrations.retry [1]. Уязвимость была обнаружена платформой DepthFirst, которая анализирует контекст приложения для выявления эксплойтов, невидимых для традиционных сканеров. Проблема была устранена командой Langfuse в день сообщения и отслеживается как CVE-2025-59305. Ключевым моментом является то, что ошибки авторизации являются системной слепой зоной для традиционных инструментов безопасности, и быстрое внедрение помощников по написанию кода на основе ИИ масштабирует этот скрытый риск [2].
Источники:
- [1] https://github.com/langfuse/langfuse/pull/9028
- [2] https://depthfirst.webflow.io/post/how-an-authorization-flaw-reveals-a-common-security-blind-spot-cve-2025-59305-case-study
CVE-2025-65107Langfuse - это платформа для инженерии больших языковых моделей с открытым исходным кодом. В версиях от 2.95.0 до 2.95.12 и с 3.17.0 до 3.131.0, в конфигурациях провайдера SSO без явной настройки AUTH_<PROVIDER>_CHECK потенциальное поглощение учетной записи может произойти, если аутентифицированный пользователь будет вызывать специально созданный URL-адрес через CSRF или фишинг-атаку. Этот выпуск был исправлен в версиях 2.95.12 и 3.131.0. Процебукка для этого вопроса включает в себя настройку AUTH_<PROVIDER>_CHECK.
CVE-2026-24055Langfuse - это платформа для инженерии больших языковых моделей с открытым исходным кодом. В версиях 3.146.0 и ниже конечная точка /api/public/slack/install инициирует Slack OAuth, используя проект, предоставленный клиентом без аутентификации или авторизации. Проектный индекс сохраняется по всему потоку OAuth, и обратный звонок хранит установки на основе этих недоверных метаданных. Это позволяет злоумышленнику связывать свое рабочее пространство Slack с любым проектом и потенциально получать изменения в подсказки, хранящиеся в Langfuse Prompt Management. Злоумышленник может заменить существующие интеграции быстрой автоматизации Slack или предварительно зарегистрировать вредоносную, хотя последний требует, чтобы аутентифицированный пользователь неосознанно настроил его, несмотря на видимое рабочее пространство и индикаторы канала в пользовательском интерфейсе. Эта проблема исправлена в версии 3.147.0.
CVE-2026-41487Langfuse - это платформа для инженерии больших языковых моделей с открытым исходным кодом. От версии 3.68.0 до версии 3.167.0, существует недостаток управления доступом на основе ролей в потоке обновления LLM-соединения. Аутентифицированный, низкопривилегированный пользователь «члена» роли в проекте может запросить обновление существующего соединения LLM с управляемой злоумышленником базой Url, в результате чего Langfuse повторно использует хранимого провайдера секрет и перенаправляет запрос на проверку, контролируемую злоумышленником. Это может разоблачить провайдера открытого текста LLM API-ключ для этого соединения. Атака возможна только в том случае, если пользователь уже является частью проекта и имеет доступ к «члену». Этот вопрос был исправлен в версии 3.167.0.
CVE-2025-64504Langfuse - это платформа для инженерии больших языковых моделей с открытым исходным кодом. Начиная с версий 2.70.0 и до версий 2.95.11 и 3.124.1, в определенных API-интерфейсах членства в проекте сервер доверял оргиду, контролируемому пользователем, и использовал его в проверках авторизации. В результате любой аутентифицированный пользователь в том же экземпляре Langfuse может перечислять имена и адреса электронной почты пользователей в другой организации, если они знают идентификатор целевой организации. Раскрытие информации ограничивается именами и адресами электронной почты участников/приглашенных. Никакие данные о клиентах, такие как следы, подсказки или оценки, не являются открытыми или доступными. Для Langfuse Cloud сопровождение провело тщательное расследование журналов доступа за последние 30 дней и не смогли найти никаких доказательств того, что эта уязвимость была использована. Для большинства саморазвертных развертываний поверхность атаки значительно уменьшается, учитывая, что провайдер SSO настроен, а электронное / паролем выключено. В этих случаях только пользователи, которые аутентифицируются через Enterprise SSO IdP (например. Okta) сможет использовать эту уязвимость для доступа к списку участников, то есть внутренние пользователи получат доступ к списку других внутренних пользователей. Чтобы использовать уязвимость, субъект должен иметь действующую учетную запись пользователя Langfuse в одном и том же экземпляре, знать целевую оргию и использовать запрос, сделанный в API, который обеспечивает таблицы членства фронтенда, включая их токен аутентификации проекта / пользователя, при изменении оргида на целевую организацию. Langfuse Cloud (EU, США, HIPAA) были затронуты до развертывания 1 ноября 2025 года. Сопровождающие изучили журналы доступа Langfuse Cloud за последние 30 дней и не нашли никаких доказательств того, что эта уязвимость была использована. Самостоящие версии, содержащие патчи, включают v2.95.11 для основной версии 2 и v3.124.1 для основной версии 3. Облаков известных обходных пути нет. Для полного смягчения этой проблемы требуется модернизация.
CVE-2025-9799В Langfuse до версии 3.88.0 обнаружена уязвимость, классифицированная как критическая. Затронута функция promptChangeEventSourcing файла web/src/features/prompts/server/routers/promptRouter.ts компонента Webhook Handler. Манипуляция приводит к уязвимости Server-side request forgery. Атака может быть инициирована удаленно. Эксплойт доступен публично.
Источники:
- [1] https://github.com/langfuse/langfuse/issues/8522
- [2] https://vuldb.com/?id.322114
- [3] https://vuldb.com/?ctiid.322114
- [4] https://vuldb.com/?submit.641128