CVE-2025-68665 in langchainjsИнформация

Сводка

по VulDB • 09.05.2026

LangChain — это фреймворк для создания приложений на базе больших языковых моделей (LLM). До версий @langchain/core 0.3.80 и 1.1.8, а также до версий langchain 0.3.37 и 1.2.3 в методе toJSON() библиотеки LangChain JS (а также при последующем преобразовании объектов в строку с помощью JSON.stringify()) существовала уязвимость инъекции при десериализации. Метод не экранировал объекты с ключами 'lc' при сериализации произвольных данных в аргументах kwargs. Ключ 'lc' используется внутри LangChain для маркировки сериализованных объектов. Когда данные, контролируемые пользователем, содержат такую структуру ключей, они воспринимаются как легитимные объекты LangChain во время десериализации, а не как обычные пользовательские данные. Эта проблема исправлена в версиях @langchain/core 0.3.80 и 1.1.8, а также в версиях langchain 0.3.37 и 1.2.3.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

23.12.2025

Раскрытие

24.12.2025

Модерация

принято

Вход

VDB-337900

EPSS

0.00746

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!