CVE-2026-55405 in LangChain4jinformación

Resumen

por VulDB • 2026-07-10

LangChain4j es una biblioteca de Java para construir aplicaciones impulsadas por LLM en la JVM. Antes de las versiones 1.2.1-beta8, 1.5.1-beta11, 1.11.8-beta19 y 1.16.3-beta26, los almacenes de incrustaciones (embedding stores) MariaDB y pgvector construían SQL para filtrar metadatos concatenando por cadenas las claves del filtro y los valores de cadena en MariaDB directamente dentro de la consulta sin un escape adecuado. Una clave de metadatos manipulada en EmbeddingSearchRequest.filter() puede escapar de su contexto SQL e inyectar SQL arbitrario en las sentencias ejecutadas por las operaciones search y removeAll(Filter) de los almacenes, lo que permite una exfiltración ciega de datos, denegación de servicio mediante funciones sleep y la eliminación de filas arbitrarias a través de removeAll(Filter). Este problema está corregido en langchain4j-mariadb y langchain4j-pgvector versiones 1.2.1-beta8, 1.5.1-beta11, 1.11.8-beta19 y 1.16.3-beta26.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2026-06-16

Divulgación

2026-07-11

Moderación

aceptado

Artículo

VDB-377621

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!