CVE-2026-55405 in LangChain4j
要約
〜によって VulDB • 2026年07月10日
LangChain4jは、JVM上でLLM駆動型アプリケーションを構築するためのJavaライブラリです。バージョン1.2.1-beta8、1.5.1-beta11、1.11.8-beta19、および1.16.3-beta26より前では、MariaDBおよびpgvectorの埋め込みストアは、メタデータフィルターのSQLを生成する際に、フィルターキーとMariaDB内の文字列値を適切なエスケープ処理なしで単純に連結していました。EmbeddingSearchRequest.filter()における悪意のあるメタデータキーにより、そのSQLコンテキストから脱出して検索およびremoveAll(Filter)操作によって実行されるステートメント内に任意のSQLコードがインジェクトされ、盲型データの漏洩、sleep関数を用いたサービス妨害(DoS)、およびremoveAll(Filter)を通じた任意の行の削除が可能になります。この問題は、langchain4j-mariadbおよびlangchain4j-pgvectorのバージョン1.2.1-beta8、1.5.1-beta11、1.11.8-beta19、および1.16.3-beta26で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.