CVE-2025-46726

Nome do Software Vulnerável e Versões Afetadas Versões do Langroid anteriores à 0.53.4

Descrição Uma aplicação de LLM que utiliza a classe XMLToolMessage pode ficar exposta a entradas XML não confiáveis, potencialmente resultando em Negação de Serviço (DoS) e/ou na exposição de arquivos locais com informações sensíveis. A classe XMLToolMessage utiliza lxml sem salvaguardas, tornando-a vulnerável a ataques de explosão quadrática e permitindo o processamento de declarações de entidade externa para arquivos locais por padrão.

Recomendações Para versões anteriores à 0.53.4, atualize para a versão 0.53.4 para corrigir o problema. Como medida de contorno temporária, considere desativar o uso da classe XMLToolMessage até que a atualização seja aplicada. Restrinja o acesso à biblioteca lxml para minimizar o risco de exploração. Evite usar a classe XMLToolMessage com entradas XML não confiáveis até que o problema seja resolvido.