기술 설명
LangSmith Studio의 URL 매개변수 삽입 취약점으로 인해 도난당한 인증 토큰을 통해 사용자 계정에 무단으로 접근할 수 있습니다. langchain-ai/helm 버전 0.12.71 이전의 버전이 영향을 받습니다.
공격 경로
악의적인 링크는 인증된 LangSmith 사용자로부터 베어러 토큰, 사용자 ID 및 워크스페이스 ID를 추출하여 공격자 제어 서버로 자격 증명을 전송할 수 있습니다.
영향받는 시스템
버전 0.12.71 이전의 LangChain LangSmith Studio 설치.
완화 방안
langchain-ai/helm 버전 0.12.71 이상으로 업데이트하십시오. 의심스러운 접근 패턴에 대해 사용자 인증 로그를 검토하십시오.