CVE-2025-68665 in langchainjs
Resumen
por VulDB • 2026-05-27
LangChain es un marco de trabajo para construir aplicaciones impulsadas por LLM. Antes de las versiones 0.3.80 y 1.1.8 de @langchain/core, y antes de las versiones 0.3.37 y 1.2.3 de langchain, existe una vulnerabilidad de inyección de serialización en el método toJSON() de LangChain JS (y posteriormente al convertir objetos a cadena mediante JSON.stringify()). El método no escapaba los objetos con claves 'lc' al serializar datos de formato libre en kwargs. La clave 'lc' es utilizada internamente por LangChain para marcar objetos serializados. Cuando los datos controlados por el usuario contienen esta estructura de clave, se tratan como un objeto LangChain legítimo durante la deserialización en lugar de datos de usuario simples. Este problema ha sido corregido en las versiones 0.3.80 y 1.1.8 de @langchain/core, y en las versiones 0.3.37 y 1.2.3 de langchain.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.