CVE-2026-41481 in langchain-text-splittersinfo

Zusammenfassung

von VulDB • 15.05.2026

LangChain ist ein Framework zum Erstellen von Agenten und LLM-gestützten Anwendungen. Vor langchain-text-splitters 1.1.2 validierte HTMLHeaderTextSplitter.split_text_from_url() die initiale URL mithilfe von validate_safe_url(), führte den Abruf jedoch anschließend mit requests.get() durch, wobei Umleitungen (Redirects) aktiviert waren (Standardverhalten). Da die Ziele von Umleitungen nicht erneut validiert wurden, konnte eine URL, die auf einen vom Angreifer kontrollierten Server verweist, zu internen Endpunkten, localhost oder Cloud-Metadaten-Endpunkten umgeleitet werden, wodurch SSRF-Schutzmechanismen umgangen wurden. Der Antwortkörper wird analysiert und als Document-Objekte an den aufrufenden Anwendungscode zurückgegeben. Ob dies einen Pfad zur Datenexfiltration darstellt, hängt von der Anwendung ab: Wenn sie Document-Inhalte (oder Ableitungen davon) an den Anforderer zurückgibt, der die URL bereitgestellt hat, könnten sensible Daten von internen Endpunkten preisgegeben werden. Anwendungen, die Documents intern speichern oder verarbeiten, ohne rohe Inhalte an den Anforderer zurückzugeben, sind durch dieses Problem nicht direkt für Datenexfiltration anfällig. Diese Schwachstelle wurde in 1.1.2 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

20.04.2026

Veröffentlichung

25.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359575

CPE

bereit

EPSS

0.00042

KEV

nein

Aktivitäten

very low

Sektor

Transportation, Lawfirm, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41481
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41481
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41481/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!