PT-2024-22256 · Langchain · Langchain
Pinkdraconian
·
Publicado
2024-03-03
·
Atualizado
2025-06-13
·
CVE-2024-28088
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
LangChain versões 0.1.10 e anteriores
Descrição
A vulnerabilidade permite a traversal de diretórios ../ por um agente capaz de controlar a parte final do parâmetro
path em uma chamada load chain. Isso contorna o comportamento pretendido de carregar configurações apenas a partir do repositório GitHub hwchase17/langchain-hub. O resultado pode ser a divulgação de uma chave de API para um serviço online de modelo de linguagem de grande porte ou a execução remota de código.Recomendações
Para as versões 0.1.10 e anteriores do LangChain, atualize para a versão 0.1.29 ou posterior do langchain-core para resolver a vulnerabilidade.
Como solução alternativa temporária, considere restringir o uso da chamada
load chain para minimizar o risco de exploração.Evite usar o parâmetro
path na chamada load chain afetada até que a vulnerabilidade seja resolvida.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Langchain