关键漏洞信息 漏洞标题 Cross-organization enumeration of member & invitation lists via project membership APIs 漏洞描述 在某些项目成员API中,服务器信任了用户控制的orgId,并在授权检查中使用它。因此,任何在同一Langfuse实例上的经过身份验证的用户,如果知道目标组织的ID,都可以枚举另一组织中的用户名称和电子邮件地址。 影响 披露仅限于成员/邀请者的名称和电子邮件地址。没有客户数据如日志、提示或评估被暴露或可访问。 利用条件 行动者必须在同一实例内有一个有效的Langfuse用户账户。 行动者必须知道目标orgId。 行动者必须使用针对前端成员表格的API请求,包括他们的项目/用户认证令牌,同时将orgId更改为目标组织。 修补措施 Langfuse Cloud (EU, US, HIPAA): 受影响至2025年11月1日修复部署。我们查看了过去30天内的Langfuse Cloud访问日志,未发现此漏洞被利用的证据。 自托管版本包含修补程序: - 主要版本2: >= v2.95.11 - 主要版本3: >= v3.124.1 时间线 2025年11月1日: 安全研究人员联系并分享此漏洞的详细信息。 2025年11月1-2日: Langfuse复现漏洞,修复,部署到Langfuse Cloud,并为自托管/OSS发布了修补版本(v3.124.1)。 2025年11月2日: Langfuse得出结论,在过去30天内,此漏洞未在Langfuse Cloud中被利用。 2025年11月5日: 我们为Langfuse v2发布了一个补丁。由于v2不再维护,因此延迟发布,以增加对漏洞的意识。 2025年11月9日: 在提前通知期限后,为企业自托管客户发布CVE。