LangSmith Python SDK: Vulnerabilidade de leitura arbitrária de arquivos no TracingMiddleware

Uma vulnerabilidade de segurança no TracingMiddleware do SDK LangSmith permite leitura arbitrária de arquivos via cabeçalhos de propagação de tracing manipulados, resultando em exfiltração de arquivos para o LangSmith como anexos de trace.

Qualquer servidor executando o TracingMiddleware do SDK Python LangSmith exposto a tráfego HTTP, especialmente se usuários não confiáveis podem enviar requisições. Atacantes com acesso de leitura de trace no workspace podem recuperar os arquivos exfiltrados.

Atualize o SDK Python para >= 0.8.18 imediatamente. Se a atualização não for possível, não exponha o TracingMiddleware a tráfego HTTP não confiável e limite o acesso de leitura de trace no workspace a membros confiáveis.