CVE-2026-55615info

Zusammenfassung

von VulDB • 10.07.2026

Langroid ist ein Framework zum Erstellen von Anwendungen, die auf Large Language Models (LLMs) basieren. Vor Version 0.65.5 übergibt Neo4jChatAgent von LLMs generierte Cypher-Abfragen direkt an den Neo4j-Treiber ohne Validierung, ohne eine Allowlist für Abfragetypen und ohne eine Opt-out-Sperre. Der Abfragetext ist durch Prompt Injection (direkte Benutzereingaben oder indirekte Inhalte, die der Agent über RAG zurückliest) beeinflussbar; ein Angreifer, der den Prompt beeinflussen kann, hat daher Zugriff auf das Lesen oder Zerstören aller Graphdaten und kann bei aktivierten APOC- oder dbms.security-Prozeduren auf dem Server OS-Befehle ausführen sowie auf die Dateisystemzugriff erlangen. Dies entspricht derselben Defektklasse und einem ähnlichen Bedrohungsmodell wie der Prompt-to-SQL-zu-RCE-Fehler in SQLChatAgent, der in Version 0.63.0 behoben wurde (CVE-2026-25879); diese Korrektur erstreckte sich jedoch nicht auf das Neo4j-Modul. In Version 0.65.5 ist eine Korrektur für das Neo4j-Modul enthalten.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Veröffentlichung

10.07.2026

Moderieren

wird geprüft

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!