CVE-2025-68665 in langchainjsinformação

Sumário

de VulDB • 09/05/2026

LangChain é um framework para o desenvolvimento de aplicações alimentadas por LLMs. Antes das versões 0.3.80 e 1.1.8 de @langchain/core, e antes das versões 0.3.37 e 1.2.3 de langchain, existia uma vulnerabilidade de injeção por serialização no método toJSON() do LangChain JS (e subsequentemente ao converter objetos em strings usando JSON.stringify()). O método não escapava objetos com chaves 'lc' ao serializar dados de formato livre em kwargs. A chave 'lc' é usada internamente pelo LangChain para marcar objetos serializados. Quando os dados controlados pelo usuário contêm essa estrutura de chave, eles são tratados como um objeto LangChain legítimo durante a desserialização, em vez de dados simples do usuário. Este problema foi corrigido nas versões 0.3.80 e 1.1.8 de @langchain/core, e nas versões 0.3.37 e 1.2.3 de langchain.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

23/12/2025

Divulgação

24/12/2025

Moderação

aceite

Entrada

VDB-337900

CPE

pronto

EPSS

0.00746

KEV

não

Atividades

muito baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!