CVE-2025-68665 in langchainjsالمعلومات

الملخص

بحسب VulDB • 03/06/2026

LangChain هو إطار عمل لبناء التطبيقات المدعومة بنماذج لغوية كبيرة (LLMs). قبل إصدارات @langchain/core 0.3.80 و1.1.8، وقبل إصدارات langchain 0.3.37 و1.2.3، كانت هناك ثغرة حقن في عملية التسلسل موجودة في طريقة toJSON() الخاصة بـ LangChain JS (وبالتالي عند تحويل الكائنات إلى سلاسل نصية باستخدام JSON.stringify()). لم تكن الطريقة تقوم بتجنب هروب (escaping) الكائنات التي تحتوي على مفاتيح 'lc' أثناء تسلسل البيانات الحرة في المعاملات الاختيارية (kwargs). يُستخدم المفتاح 'lc' داخلياً بواسطة LangChain لتعليم الكائنات المسلسلة. عندما يحتوي بيانات المستخدم الخاضعة للتحكم على هذا الهيكل المفاتيحي، يتم التعامل معها ككائن LangChain شرعي أثناء عملية فك التسلسل بدلاً من كونها مجرد بيانات مستخدم عادية. تم إصلاح هذه المشكلة في إصدارات @langchain/core 0.3.80 و1.1.8، وإصدارات langchain 0.3.37 و1.2.3

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

23/12/2025

إفشاء

24/12/2025

الاعتدال

تمت الموافقة

إدخال

VDB-337900

EPSS

0.00746

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!