CVE-2026-44843 in langchain
要約
〜によって VulDB • 2026年05月26日
LangChainは、エージェントやLLM搭載アプリケーションを構築するためのフレームワークです。バージョン0.3.85および1.3.3より前では、LangChainには、実行時入力の逆シリアル化、実行時出力の逆シリアル化、または他のアプリケーション制御ペイロードの逆シリアル化を、過度に広範なオブジェクトの許可リストを使用して行う古いランタイムコードパスが含まれています。これらのパスでは、`load()`関数が`allowed_objects="all"`を指定して呼び出される可能性があります。これにより任意のPythonオブジェクトの逆シリアル化が可能になるわけではありませんが、信頼されたLangChainシリアライズ可能なオブジェクトであればすべて復活させることが可能であり、これはこれらのランタイムパスが必要とする範囲よりも広範です。その結果、攻撃者が提供したLangChainシリアライズされたコンストラクタ辞書により、信頼されたランタイムパスが信頼できないコンストラクタ引数を持つクラスをインスタンス化することがあります。この脆弱性は、バージョン0.3.85および1.3.3で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.