CVE-2025-68665 in langchainjs
요약
\~에 의해 VulDB • 2026. 05. 27.
LangChain은 LLM 기반 애플리케이션을 구축하기 위한 프레임워크입니다. @langchain/core 버전 0.3.80 및 1.1.8 이전, 그리고 langchain 버전 0.3.37 및 1.2.3 이전에서는 LangChain JS의 toJSON() 메서드(그리고 이후 JSON.stringify()를 사용하여 객체를 문자열화할 때)에 직렬화 주입 취약점이 존재합니다. 이 메서드는 kwargs 내의 자유 형식 데이터를 직렬화할 때 'lc' 키가 있는 객체를 이스케이프하지 않았습니다. 'lc' 키는 LangChain이 직렬화된 객체를 표시하기 위해 내부적으로 사용합니다. 사용자 제어 데이터에 이 키 구조가 포함되면, 일반 사용자 데이터가 아닌 직렬화 과정에서 정당한 LangChain 객체로 처리됩니다. 이 문제는 @langchain/core 버전 0.3.80 및 1.1.8, 그리고 langchain 버전 0.3.37 및 1.2.3에서 패치되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.