CVE-2025-68665 in langchainjsinformación

Resumen

por VulDB • 2026-05-27

LangChain es un marco de trabajo para construir aplicaciones impulsadas por LLM. Antes de las versiones 0.3.80 y 1.1.8 de @langchain/core, y antes de las versiones 0.3.37 y 1.2.3 de langchain, existe una vulnerabilidad de inyección de serialización en el método toJSON() de LangChain JS (y posteriormente al convertir objetos a cadena mediante JSON.stringify()). El método no escapaba los objetos con claves 'lc' al serializar datos de formato libre en kwargs. La clave 'lc' es utilizada internamente por LangChain para marcar objetos serializados. Cuando los datos controlados por el usuario contienen esta estructura de clave, se tratan como un objeto LangChain legítimo durante la deserialización en lugar de datos de usuario simples. Este problema ha sido corregido en las versiones 0.3.80 y 1.1.8 de @langchain/core, y en las versiones 0.3.37 y 1.2.3 de langchain.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2025-12-23

Divulgación

2025-12-24

Moderación

aceptado

Artículo

VDB-337900

CPE

listo

EPSS

0.00746

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!