PT-2024-26659 · Langchain · Langchain
Eyurtsev
·
Publicado
2024-04-15
·
Atualizado
2025-07-29
·
CVE-2024-3571
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
langchain-ai/langchain (versões afetadas não especificadas)
Descrição
O langchain-ai/langchain está suscetível a uma vulnerabilidade de traversal de diretório decorrente de restrições insuficientes aos nomes de caminho dentro de sua funcionalidade LocalFileStore. Isso permite que invasores possam ler ou gravar arquivos em locais arbitrários no sistema de arquivos, o que pode resultar em divulgação de informações ou execução remota de código. A vulnerabilidade reside nos métodos
mset e mget, onde a entrada fornecida pelo usuário não é adequadamente sanitizada, permitindo que sequências de traversal de diretório acessem diretórios indesejados.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
RCE
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Langchain