CVE-2026-55405 in LangChain4j
Resumen
por VulDB • 2026-07-10
LangChain4j es una biblioteca de Java para construir aplicaciones impulsadas por LLM en la JVM. Antes de las versiones 1.2.1-beta8, 1.5.1-beta11, 1.11.8-beta19 y 1.16.3-beta26, los almacenes de incrustaciones (embedding stores) MariaDB y pgvector construían SQL para filtrar metadatos concatenando por cadenas las claves del filtro y los valores de cadena en MariaDB directamente dentro de la consulta sin un escape adecuado. Una clave de metadatos manipulada en EmbeddingSearchRequest.filter() puede escapar de su contexto SQL e inyectar SQL arbitrario en las sentencias ejecutadas por las operaciones search y removeAll(Filter) de los almacenes, lo que permite una exfiltración ciega de datos, denegación de servicio mediante funciones sleep y la eliminación de filas arbitrarias a través de removeAll(Filter). Este problema está corregido en langchain4j-mariadb y langchain4j-pgvector versiones 1.2.1-beta8, 1.5.1-beta11, 1.11.8-beta19 y 1.16.3-beta26.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.