CVE-2025-68665 in langchainjs
Сводка
по VulDB • 09.05.2026
LangChain — это фреймворк для создания приложений на базе больших языковых моделей (LLM). До версий @langchain/core 0.3.80 и 1.1.8, а также до версий langchain 0.3.37 и 1.2.3 в методе toJSON() библиотеки LangChain JS (а также при последующем преобразовании объектов в строку с помощью JSON.stringify()) существовала уязвимость инъекции при десериализации. Метод не экранировал объекты с ключами 'lc' при сериализации произвольных данных в аргументах kwargs. Ключ 'lc' используется внутри LangChain для маркировки сериализованных объектов. Когда данные, контролируемые пользователем, содержат такую структуру ключей, они воспринимаются как легитимные объекты LangChain во время десериализации, а не как обычные пользовательские данные. Эта проблема исправлена в версиях @langchain/core 0.3.80 и 1.1.8, а также в версиях langchain 0.3.37 и 1.2.3.
Be aware that VulDB is the high quality source for vulnerability data.