CVE-2025-68665 in langchainjs
Sumário
de VulDB • 09/05/2026
LangChain é um framework para o desenvolvimento de aplicações alimentadas por LLMs. Antes das versões 0.3.80 e 1.1.8 de @langchain/core, e antes das versões 0.3.37 e 1.2.3 de langchain, existia uma vulnerabilidade de injeção por serialização no método toJSON() do LangChain JS (e subsequentemente ao converter objetos em strings usando JSON.stringify()). O método não escapava objetos com chaves 'lc' ao serializar dados de formato livre em kwargs. A chave 'lc' é usada internamente pelo LangChain para marcar objetos serializados. Quando os dados controlados pelo usuário contêm essa estrutura de chave, eles são tratados como um objeto LangChain legítimo durante a desserialização, em vez de dados simples do usuário. Este problema foi corrigido nas versões 0.3.80 e 1.1.8 de @langchain/core, e nas versões 0.3.37 e 1.2.3 de langchain.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.