CVE-2026-44843 in langchaininformación

Resumen

por VulDB • 2026-05-26

LangChain es un marco de trabajo para la creación de agentes y aplicaciones impulsadas por modelos de lenguaje grandes (LLM). Antes de las versiones 0.3.85 y 1.3.3, LangChain contenía rutas de ejecución antiguas que deserializaban entradas de ejecución, salidas de ejecución u otras cargas útiles controladas por la aplicación utilizando listas de objetos permitidos excesivamente amplias. Estas rutas pueden invocar load() con allowed_objects="all". Esto no habilita la deserialización de objetos Python arbitrarios, pero sí permite revivir cualquier objeto serializable por LangChain de confianza, lo cual es más amplio de lo que requieren estas rutas de ejecución. Como resultado, los diccionarios de constructores serializados por LangChain proporcionados por un atacante pueden provocar que las rutas de ejecución de confianza instancien clases con argumentos de constructor no confiables. Esta vulnerabilidad se corrige en las versiones 0.3.85 y 1.3.3.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-07

Divulgación

2026-05-27

Moderación

aceptado

Artículo

VDB-365807

CPE

listo

EPSS

0.00045

KEV

no

Actividades

muy bajo

Sector

Pharma, Finance, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44843
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44843
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44843/

AnteriorVisión De ConjuntoPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!