CVE-2024-1455

LangChain (versões afetadas não especificadas)

O problema diz respeito ao XMLOutputParser no LangChain, que utiliza o módulo etree do analisador XML da biblioteca padrão do Python. Essa biblioteca apresenta algumas vulnerabilidades XML, tornando-a suscetível a um ataque “Billion Laughs”, um tipo de exploração de Entidade Externa XML (XXE). Ao aninhar várias camadas de entidades dentro de um documento XML, um invasor pode fazer com que o analisador XML consuma recursos excessivos de CPU e memória, levando a uma negação de serviço (DoS). Isso afeta principalmente usuários que combinam um Large Language Model (LLM) ou agente com o XMLOutputParser e expõem o componente por meio de um endpoint em um serviço web, permitindo que um agente mal-intencionado tente manipular o LLM para produzir uma carga maliciosa para o analisador.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.