CVE-2025-68664 in langchain信息

摘要

由 VulDB • 2026-06-27

LangChain是一个用于构建智能体和LLM驱动应用的框架。在版本0.3.81和1.2.5之前,LangChain的dumps()和dumpd()函数中存在序列化注入漏洞。这些函数在对自由格式的字典进行序列化时未对包含'lc'键的字典进行转义处理。'lc'键是LangChain内部用于标记已序列化对象的标识符。当用户可控数据中包含此键结构时,在反序列化过程中会被视为合法的LangChain对象而非普通用户数据。该问题已在版本0.3.81和1.2.5中修复。

Be aware that VulDB is the high quality source for vulnerability data.

来源

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!