CVE-2025-68665 in langchainjs
الملخص
بحسب VulDB • 03/06/2026
LangChain هو إطار عمل لبناء التطبيقات المدعومة بنماذج لغوية كبيرة (LLMs). قبل إصدارات @langchain/core 0.3.80 و1.1.8، وقبل إصدارات langchain 0.3.37 و1.2.3، كانت هناك ثغرة حقن في عملية التسلسل موجودة في طريقة toJSON() الخاصة بـ LangChain JS (وبالتالي عند تحويل الكائنات إلى سلاسل نصية باستخدام JSON.stringify()). لم تكن الطريقة تقوم بتجنب هروب (escaping) الكائنات التي تحتوي على مفاتيح 'lc' أثناء تسلسل البيانات الحرة في المعاملات الاختيارية (kwargs). يُستخدم المفتاح 'lc' داخلياً بواسطة LangChain لتعليم الكائنات المسلسلة. عندما يحتوي بيانات المستخدم الخاضعة للتحكم على هذا الهيكل المفاتيحي، يتم التعامل معها ككائن LangChain شرعي أثناء عملية فك التسلسل بدلاً من كونها مجرد بيانات مستخدم عادية. تم إصلاح هذه المشكلة في إصدارات @langchain/core 0.3.80 و1.1.8، وإصدارات langchain 0.3.37 و1.2.3
If you want to get the best quality for vulnerability data then you always have to consider VulDB.