Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Boletín de vulnerabilidades

Vulnerabilidades con productos recientemente documentados:

No hay vulnerabilidades nuevas para los productos a los que está suscrito.



Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente:

  • Vulnerabilidad en Langfuse (CVE-2025-59305)
    Severidad: ALTA
    Fecha de publicación: 24/09/2025
    Fecha de última actualización: 02/12/2025
    Autorización indebida en los puntos finales de migración en segundo plano de Langfuse 3.1 anterior a d67b317 permite a cualquier usuario autenticado invocar funciones de control de migración. Esto puede llevar a la corrupción de datos o denegación de servicio a través de acceso no autorizado a puntos finales de TRPC como backgroundMigrations.all, backgroundMigrations.status y backgroundMigrations.retry.
  • Vulnerabilidad en Langfuse (CVE-2025-64504)
    Severidad: MEDIA
    Fecha de publicación: 10/11/2025
    Fecha de última actualización: 02/12/2025
    Langfuse es una plataforma de ingeniería de modelos de lenguaje grandes de código abierto. A partir de la versión 2.70.0 y antes de las versiones 2.95.11 y 3.124.1, en ciertas API de membresía de proyectos, el servidor confiaba en un orgId controlado por el usuario y lo usaba en las comprobaciones de autorización. Como resultado, cualquier usuario autenticado en la misma instancia de Langfuse podía enumerar nombres y direcciones de correo electrónico de usuarios en otra organización si conocían el ID de la organización objetivo. La divulgación se limita a nombres y direcciones de correo electrónico de miembros/invitados. Ningún dato de cliente como rastros, prompts o evaluaciones está expuesto o accesible. Para Langfuse Cloud, los mantenedores realizaron una investigación exhaustiva de los registros de acceso de los últimos 30 días y no pudieron encontrar ninguna evidencia de que esta vulnerabilidad fuera explotada. Para la mayoría de las implementaciones de autoalojamiento, la superficie de ataque se reduce significativamente dado que un proveedor de SSO está configurado y el registro por correo electrónico/contraseña está deshabilitado. En estos casos, solo los usuarios que se autentican a través del IdP de SSO Empresarial (por ejemplo, Okta) podrían explotar esta vulnerabilidad para acceder a la lista de miembros, es decir, usuarios internos obteniendo acceso a una lista de otros usuarios internos. Para explotar la vulnerabilidad, el actor debe tener una cuenta de usuario válida de Langfuse dentro de la misma instancia, conocer el orgId objetivo y usar la solicitud hecha a la API que alimenta las tablas de membresía del frontend, incluyendo su token de autenticación de proyecto/usuario, mientras cambia el orgId a la organización objetivo. Langfuse Cloud (UE, EE. UU., HIPAA) se vieron afectados hasta el despliegue de la corrección el 1 de noviembre de 2025. Los mantenedores revisaron los registros de acceso de Langfuse Cloud de los últimos 30 días y no encontraron evidencia de que esta vulnerabilidad fuera explotada. Las versiones autoalojadas que contienen parches incluyen v2.95.11 para la versión principal 2 y v3.124.1 para la versión principal 3. No hay soluciones alternativas conocidas. Se requiere actualizar para mitigar completamente este problema.