Kpanuragh

**Nome do Software Vulnerável e Versões Afetadas** Versões do LangChain anteriores à 1.1.14 **Descrição** A classe `RecursiveUrlLoader` dentro do componente `@langchain/community` é um web crawler que segue links recursivamente a partir de uma URL inicial. A opção `preventOutside`, destinada a restringir o rastreamento ao mesmo site, utilizava `String.startsWith()` para comparação de URL, o que não realiza validação semântica de URL. Isso permitiu que atacantes que controlam o conteúdo da página rastreada incluíssem links para infraestrutura controlada por atacantes ou interna, explorando domínios que compartilham um prefixo de string com o alvo. O crawler também carecia de validação contra endereços IP privados ou reservados, permitindo acesso a serviços de metadados de nuvem, localhost e endereços RFC 1918. Um atacante influenciando o conteúdo da página rastreada poderia potencialmente buscar metadados de instância de nuvem, acessar serviços internos em redes privadas, conectar-se a serviços localhost ou exfiltrar dados de resposta. O problema é explorável em ambientes onde o crawler tem acesso a metadados de nuvem ou serviços internos. **Recomendações** Versões anteriores à 1.1.14 devem ser atualizadas para a versão 1.1.14 ou posterior.