CVE-2024-10940

Nome do Software Vulnerável e Versões Afetadas Versões do langchain-core de 0.1.17 a 0.1.52 Versões do langchain-core de 0.2.0 a 0.2.42 Versões do langchain-core de 0.3.0 a 0.3.14

Descrição Uma vulnerabilidade permite que usuários não autorizados leiam arquivos arbitrários do sistema de arquivos do host. Este problema surge da capacidade de criar langchain core.prompts.ImagePromptTemplate e langchain core.prompts.ChatPromptTemplate com variáveis de entrada que podem ler qualquer caminho especificado pelo usuário no sistema de arquivos do servidor. Se as saídas desses modelos de prompt forem expostas ao usuário, isso pode levar à exposição de informações sensíveis.

Recomendações Para as versões de 0.1.17 a 0.1.52, considere restringir o acesso a langchain core.prompts.ImagePromptTemplate e langchain core.prompts.ChatPromptTemplate para prevenir a leitura não autorizada de arquivos. Para as versões de 0.2.0 a 0.2.42, considere restringir o acesso a langchain core.prompts.ImagePromptTemplate e langchain core.prompts.ChatPromptTemplate para prevenir a leitura não autorizada de arquivos. Para as versões de 0.3.0 a 0.3.14, considere restringir o acesso a langchain core.prompts.ImagePromptTemplate e langchain core.prompts.ChatPromptTemplate para prevenir a leitura não autorizada de arquivos. Como solução temporária, considere desabilitar a criação de langchain core.prompts.ImagePromptTemplate e langchain core.prompts.ChatPromptTemplate com variáveis de entrada até que uma correção esteja disponível.