CVE-2025-68665 in langchainjs情報

要約

〜によって VulDB • 2026年05月09日

LangChainは、LLM搭載アプリケーションを構築するためのフレームワークです。@langchain/coreのバージョン0.3.80および1.1.8、およびlangchainのバージョン0.3.37および1.2.3より前において、LangChain JSのtoJSON()メソッド(およびその後、JSON.stringify()を使用してオブジェクトを文字列化する際)に、シリアライゼーションインジェクション脆弱性が存在します。このメソッドは、kwargs内の自由形式データをシリアライズする際に、'lc'キーを持つオブジェクトをエスケープしませんでした。'lc'キーは、LangChainが内部でシリアライズされたオブジェクトを示すために使用します。ユーザー制御データにこのキー構造が含まれている場合、それはプレーンなユーザーデータではなく、デシリアライズ時に正当なLangChainオブジェクトとして扱われます。この問題は、@langchain/coreバージョン0.3.80および1.1.8、およびlangchainバージョン0.3.37および1.2.3で修正されています。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

GitHub M

予約する

2025年12月23日

モデレーション

承諾済み

エントリ

VDB-337900

EPSS

0.00746

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!