V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2025-64504
CVE
Средний

Langfuse - это платформа для инженерии больших языковых моделей с открытым исходным кодом. Начиная с версий 2.70.0 и до версий 2.95.11 и 3.…

CVSS
5.0
Средний
EPSS
0.00
p21
Опубликовано
2025-01-01
Обновлено
2025-01-01
Описание

Langfuse - это платформа для инженерии больших языковых моделей с открытым исходным кодом. Начиная с версий 2.70.0 и до версий 2.95.11 и 3.124.1, в определенных API-интерфейсах членства в проекте сервер доверял оргиду, контролируемому пользователем, и использовал его в проверках авторизации. В результате любой аутентифицированный пользователь в том же экземпляре Langfuse может перечислять имена и адреса электронной почты пользователей в другой организации, если они знают идентификатор целевой организации. Раскрытие информации ограничивается именами и адресами электронной почты участников/приглашенных. Никакие данные о клиентах, такие как следы, подсказки или оценки, не являются открытыми или доступными. Для Langfuse Cloud сопровождение провело тщательное расследование журналов доступа за последние 30 дней и не смогли найти никаких доказательств того, что эта уязвимость была использована. Для большинства саморазвертных развертываний поверхность атаки значительно уменьшается, учитывая, что провайдер SSO настроен, а электронное / паролем выключено. В этих случаях только пользователи, которые аутентифицируются через Enterprise SSO IdP (например. Okta) сможет использовать эту уязвимость для доступа к списку участников, то есть внутренние пользователи получат доступ к списку других внутренних пользователей. Чтобы использовать уязвимость, субъект должен иметь действующую учетную запись пользователя Langfuse в одном и том же экземпляре, знать целевую оргию и использовать запрос, сделанный в API, который обеспечивает таблицы членства фронтенда, включая их токен аутентификации проекта / пользователя, при изменении оргида на целевую организацию. Langfuse Cloud (EU, США, HIPAA) были затронуты до развертывания 1 ноября 2025 года. Сопровождающие изучили журналы доступа Langfuse Cloud за последние 30 дней и не нашли никаких доказательств того, что эта уязвимость была использована. Самостоящие версии, содержащие патчи, включают v2.95.11 для основной версии 2 и v3.124.1 для основной версии 3. Облаков известных обходных пути нет. Для полного смягчения этой проблемы требуется модернизация.

Теги · CWE
CWE-202
Затронутые продукты
Langfuse 2.70.0–2.95.11Langfuse 3.0.0–3.124.1
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
Хронология
2025-01-01
Опубликована
2025-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: L
Низкое (L)
Воздействие на целостность
I: N
Отсутствует (N)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.003 · p21
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
langfuse*Отслеживается