CVE-2026-55615informazioni

Riassunto

di VulDB • 10/07/2026

Langroid è un framework per la creazione di applicazioni basate su modelli linguistici di grandi dimensioni (LLM). Prima della versione 0.65.5, Neo4jChatAgent trasmette le query Cypher generate dall'LLM direttamente al driver Neo4j senza alcuna validazione, senza una allowlist dei tipi di istruzione e senza un meccanismo di opt-out per la disattivazione. Il testo della query può essere influenzato da prompt injection (input diretto dell'utente o contenuto indiretto che l'agente legge tramite RAG), quindi un attaccante in grado di influenzare il prompt può leggere o distruggere tutti i dati del grafo e, quando le procedure APOC o dbms.security sono abilitate sul server, ottenere accesso ai comandi OS e al filesystem. Si tratta della stessa classe di difetto e dello stesso threat model dell'issue SQLChatAgent da prompt a SQL fino a RCE risolta nella versione 0.63.0 (CVE-2026-25879); tale correzione non è stata estesa al modulo neo4j. La versione 0.65.5 contiene una correzione per il modulo neo4j.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Divulgazione

10/07/2026

Moderazione

in revisione

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!