一、 漏洞 CVE-2025-9799 基础信息
漏洞信息
                                        # Langfuse promptRouter.ts SSRF漏洞

## 概述

Langfuse 存在一个安全漏洞,影响版本至 **3.88.0**。该漏洞存在于 **Webhook Handler** 组件中的 `promptChangeEventSourcing` 函数(位于 `web/src/features/prompts/server/routers/promptRouter.ts` 文件)。

## 影响版本

- Langfuse ≤ 3.88.0

## 漏洞细节

该漏洞允许攻击者通过操控 Webhook 请求,触发**服务器端请求伪造**(SSRF)。攻击需对目标系统的请求格式与网络环境有深入了解,攻击复杂度高。

## 漏洞影响

- 攻击可远程发起。
- 存在公开的漏洞利用方式,可能已被实际利用。
- 成功利用后可能导致内部网络服务访问或敏感信息泄露。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Langfuse Webhook promptRouter.ts promptChangeEventSourcing server-side request forgery
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A security flaw has been discovered in Langfuse up to 3.88.0. Affected by this vulnerability is the function promptChangeEventSourcing of the file web/src/features/prompts/server/routers/promptRouter.ts of the component Webhook Handler. Performing manipulation results in server-side request forgery. The attack may be initiated remotely. A high degree of complexity is needed for the attack. The exploitation appears to be difficult. The exploit has been released to the public and may be exploited.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
服务端请求伪造(SSRF)
来源:美国国家漏洞数据库 NVD
漏洞标题
langfuse 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
langfuse是Langfuse开源的一个大语言模型工程平台。 langfuse 3.88.0及之前版本存在代码问题漏洞,该漏洞源于对文件web/src/features/prompts/server/routers/promptRouter.ts中函数promptChangeEventSourcing的错误操作导致服务端请求伪造。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-9799 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-9799 的情报信息

  • 标题: SSRF vulnerability · Issue #8522 · langfuse/langfuse -- 🔗来源链接

    标签: issue-tracking

    神龙速读
    SSRF vulnerability · Issue #8522 · langfuse/langfuse

  • 标题: SSRF vulnerability · Issue #8522 · langfuse/langfuse -- 🔗来源链接

    标签: exploit issue-tracking

    神龙速读
    SSRF vulnerability · Issue #8522 · langfuse/langfuse

  • 标题: Login required -- 🔗来源链接

    标签: signature permissions-required

    神龙速读
    Login required

  • 标题: Submit #641128: langfuse https://github.com/langfuse/langfuse <=3.88.0 SSRF -- 🔗来源链接

    标签: third-party-advisory

    神龙速读
    Submit #641128: langfuse https://github.com/langfuse/langfuse <=3.88.0 SSRF

  • 标题: CVE-2025-9799 Langfuse Webhook promptRouter.ts promptChangeEventSourcing server-side request forgery (Issue 8522 / EUVD-2025-26361) -- 🔗来源链接

    标签: vdb-entry technical-description

    神龙速读
    CVE-2025-9799 Langfuse Webhook promptRouter.ts promptChangeEventSourcing server-side request forgery (Issue 8522 / EUVD-2025-26361)
  • https://nvd.nist.gov/vuln/detail/CVE-2025-9799
四、漏洞 CVE-2025-9799 的评论

暂无评论

发表评论