Langchain
Уязвимости
33
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.44711
Распределение по критичности
Критический
15
Высокий
14
Средний
4
Низкий
0
Затронутые диапазоны версий
0.1.4–0.1.350.1.5–0.2.9< 0.0.28< 0.0.317< 0.1.0< 0.1.12< 0.2.5< 0.2.9< 0.3.1< 0.3.83< 0.3.85< 1.2.22≤ 0.0.131≤ 0.0.155≤ 0.0.194≤ 0.0.232≤ 0.3.1
Также сопоставлено как (исходные строки): langchain
Топ уязвимостей
CVE-2025-2828Уязвимость по подделке запроса на серверную сторону (SSRF) существует в компоненте RequestsToolkit пакета langchain-community (в частности, langchain_community.agent_toolkits.opena.toolkit.RequestsToolkit) в версии langchain-ai/langchain 0.0.27. Эта уязвимость возникает потому, что инструментарий не обеспечивает соблюдение ограничений на запросы удаленных интернет-адресов, что позволяет ему также получать доступ к локтем. В результате злоумышленник может использовать этот недостаток для выполнения сканирования портов, доступа к локальным услугам, получения метаданных экземпляров из облачных сред (например, Azure, AWS) и взаимодействия с серверами в локальной сети. Эта проблема исправлена в версии 0.0.28.
CVE-2024-7042Уязвимость в классе GraphCypherQAChain в langchain-ai/langchainjs версий 0.2.5 и всех версиях с этим классом позволяет выполнять инъекцию подсказок, что приводит к SQL-инъекции. Эта уязвимость позволяет выполнять несанкционированные манипуляции с данными, эксфильтрацию данных, отказ в обслуживании (DoS) путем удаления всех данных, нарушения в многопользовательских средах безопасности и проблемы с целостностью данных. Злоумышленники могут создавать, обновлять или удалять узлы и отношения без надлежащей авторизации, извлекать конфиденциальные данные, нарушать работу служб, получать доступ к данным в разных клиентах и ставить под угрозу целостность базы данных.
CVE-2024-2057Уязвимость была обнаружена в LangChain langchain_community 0.0.26. Она была классифицирована как критическая. Уязвима функция load_local в библиотеке libs/community/langchain_community/retrievers/tfidf.py компонента TFIDFRetriever. Манипуляция приводит к server-side request forgery. Возможно запустить атаку удаленно. Эксплойт был обнародован и может быть использован. Обновление до версии 0.0.27 позволяет решить эту проблему. Рекомендуется обновить затронутый компонент. Идентификатор этой уязвимости - VDB-255372.
CVE-2023-39659Проблема в langchain langchain-ai v.0.0.232 и более ранних версиях позволяет удаленному злоумышленнику выполнить произвольный код через специально созданный скрипт для компонента PythonAstREPLTool._run.
CVE-2023-39631Проблема в LanChain-ai Langchain v.0.0.245 позволяет удаленному злоумышленнику выполнить произвольный код через функцию evaluate в библиотеке numexpr.
CVE-2023-38896Проблема в Harrison Chase langchain v.0.0.194 и более ранних версиях позволяет удаленному злоумышленнику выполнить произвольный код через функции from_math_prompt и from_colored_object_prompt.
CVE-2023-38860Проблема в LangChain v.0.0.231 позволяет удаленному злоумышленнику выполнять произвольный код через параметр prompt.
CVE-2023-36281Проблема в langchain v.0.0.171 позволяет удаленному злоумышленнику выполнить произвольный код через JSON-файл для load_prompt. Это связано с __subclasses__ или шаблоном.
CVE-2023-36258Проблема в LangChain до 0.0.236 позволяет злоумышленнику выполнить произвольный код, поскольку можно использовать код Python с os.system, exec или eval.
CVE-2023-36188Проблема в langchain v.0.0.64 позволяет удаленному злоумышленнику выполнять произвольный код через параметр PALChain в методе Python exec.
CVE-2023-36095Проблема в Harrison Chase langchain v.0.0.194 позволяет злоумышленнику выполнить произвольный код через вызовы python exec в PALChain, уязвимые функции включают from_math_prompt и from_colored_object_prompt.
CVE-2023-34541Langchain 0.0.171 уязвим для произвольного выполнения кода в load_prompt.
CVE-2023-34540В Langchain до версии v0.0.225 была обнаружена уязвимость удаленного выполнения кода (RCE) в компоненте JiraAPIWrapper (также известном как JIRA API wrapper). Эта уязвимость позволяет злоумышленникам выполнять произвольный код с помощью специально созданного ввода. Как отмечено в ссылке "releases/tag", исправление доступно.
CVE-2023-29374В LangChain до 0.0.131 цепочка LLMMathChain позволяет атаки инъекции команд, которые могут выполнять произвольный код через метод Python exec.
BDU:2025-01410Уязвимость библиотеки numexpr фреймворка для создания приложений на основе комбинирования языковах моделей LangChain связана с неправильным контролем генерации кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2024-3571langchain-ai/langchain уязвим для обхода пути из-за неправильного ограничения имени пути к ограниченному каталогу («Обход пути») в своей функциональности LocalFileStore. Злоумышленник может использовать эту уязвимость для чтения или записи файлов в любом месте файловой системы, что потенциально может привести к раскрытию информации или удаленному выполнению кода. Проблема заключается в обработке путей к файлам в методах mset и mget, где введенные пользователем данные не очищаются должным образом, что позволяет последовательностям обхода каталогов достигать непредусмотренных каталогов.
CVE-2023-46229LangChain до версии 0.0.317 допускает SSRF через document_loaders/recursive_url_loader.py, поскольку сканирование может выполняться с внешнего сервера на внутренний.
CVE-2024-58340Версии LangChain до 0.3.1 включительно содержат обратную уязвимость отказа в обслуживании (ReDoS) в методе MRKLOutputParser.parse() (libs/langchain/langchain/gents/mrkl/output_parser.py). Парсер применяет регулярную экспрессию, склонную к обратному отслеживанию, при извлечении действий инструмента из вывода модели. Злоумышленник, который может поставлять или влиять на разобранный текст (например, с помощью быстрого впрыска в приложениях, которые пропускали вывод LLM непосредственно в MRKLOutputParser.parse()), может вызвать чрезмерное потребление процессора, обеспечивая созданную полезную нагрузку, вызывая значительные задержки разбора и состояние отказа в обслуживании.
BDU:2025-09014Уязвимость фреймворка для создания приложений на основе комбинирования языковах моделей (LLM) LangChain связана с недостаточной проверкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку
CVE-2026-44843LangChain является основой для строительных агентов и приложений на базе LLM. До 0.3.85 и 1.3.3 LangChain содержит более старые пути кода времени выполнения, которые дезериализуют входные данные запуска, запуски или другие управляемые приложениями полезные нагрузки с использованием слишком широких списков разрешений объектов. Эти пути могут вызывать load() с разрешенным_объектами="все". Это не позволяет произвольное десериалиализацию объектов Python, но позволяет возродить любой доверенный последовательно-серийный объект LangChain, что шире, чем требуют эти пути времени выполнения. В результате, поставляемые злоумышленником сериализованные словари конструкторов LangChain могут привести к тому, что доверенные пути времени выполнения могут инстанцировать классы с ненадежными аргументами конструктора. Эта уязвимость зафиксирована в пункте 0.3.85 и 1.3.3.
CVE-2024-28088LangChain до версии 0.1.10 допускает обход каталогов ../ злоумышленником, который может контролировать конечную часть параметра path в вызове load_chain. Это обходит предполагаемое поведение загрузки конфигураций только из репозитория hwchase17/langchain-hub GitHub. Результатом может быть раскрытие ключа API для большой языковой модели онлайн-сервиса или удаленное выполнение кода. (Исправление доступно в версии 0.1.29 langchain-core.)
CVE-2024-0243При следующей конфигурации краулера:
```python
from bs4 import BeautifulSoup as Soup
url = "https://example.com"
loader = RecursiveUrlLoader(
url=url, max_depth=2, extractor=lambda x: Soup(x, "html.parser").text
)
docs = loader.load()
```
Злоумышленник, контролирующий содержимое `https://example.com`, может разместить вредоносный HTML файл с такими ссылками, как "https://example.completely.different/my_file.html", и краулер продолжит загружать этот файл, даже несмотря на то, что `prevent_outside=True`.
https://github.com/langchain-ai/langchain/blob/bf0b3cc0b5ade1fb95a5b1b6fa260e99064c2e22/libs/community/langchain_community/document_loaders/recursive_url_loader.py#L51-L51
Разрешено в https://github.com/langchain-ai/langchain/pull/15559
CVE-2024-5998Уязвимость в функции FAISS.deserialize_from_bytes библиотеки langchain-ai/langchain позволяет выполнять десериализацию pickle из недоверенных данных. Это может привести к выполнению произвольных команд через функцию os.system. Проблема затрагивает последнюю версию продукта.
CVE-2024-3095В компоненте Web Research Retriever библиотеки langchain-ai/langchain версии 0.1.5 существует уязвимость Server-Side Request Forgery (SSRF). Уязвимость возникает из-за того, что Web Research Retriever не ограничивает запросы к удаленным интернет-адресам, позволяя ему обращаться к локальным адресам. Этот недостаток позволяет злоумышленникам выполнять сканирование портов, получать доступ к локальным сервисам и, в некоторых сценариях, считывать метаданные экземпляра из облачных сред. Уязвимость особенно опасна, поскольку ее можно использовать для злоупотребления сервером Web Explorer в качестве прокси для веб-атак на третьи стороны и для взаимодействия с серверами в локальной сети, включая чтение данных их ответов. Это может потенциально привести к произвольному выполнению кода, в зависимости от характера локальных сервисов. Уязвимость ограничена GET-запросами, поскольку POST-запросы невозможны, но влияние на конфиденциальность, целостность и доступность значительно из-за возможности кражи учетных данных и изменяющих состояние взаимодействий с внутренними API.
CVE-2026-34070LangChain является основой для строительных агентов и приложений на базе LLM. До версии 1.2.22 несколько функций в langchain_core.prompts.load файлы чтения считывают пути, встроенные в дезериационные конфигурационные указы без проверки на обхода каталога или абсолютного впрыска пути. Когда приложение проходит под влиянием пользователя конфигурации запроса на load_prompt() или load_prompt_from_config(), злоумышленник может прочитать произвольные файлы в файловой системе хоста, ограниченные только проверками наложение файлов (.txt для шаблонов, .json/.yaml для примеров). Этот вопрос исправлен в версии 1.2.22.