CVE-2025-46724

Nome do Software Vulnerável e Versões Afetadas Versões do Langroid anteriores a 0.53.15

Descrição A questão refere-se ao Langroid, um framework Python para construir aplicações baseadas em modelos de linguagem de grande porte (LLM). Em versões anteriores a 0.53.15, o TableChatAgent utiliza pandas eval(), o que pode ser vulnerável a injeção de código se receber entrada de usuário não confiável, como em aplicações LLM acessíveis publicamente. O Langroid 0.53.15 resolve isso sanitizando a entrada para o TableChatAgent por padrão e adicionando avisos sobre comportamento de risco na documentação do projeto.

Recomendações Para versões anteriores a 0.53.15, atualize para a versão 0.53.15 para sanitizar a entrada para o TableChatAgent e prevenir vulnerabilidades de injeção de código. Como solução temporária, considere desabilitar o uso de pandas eval() no TableChatAgent até que uma correção esteja disponível. Restrinja o acesso ao TableChatAgent para minimizar o risco de exploração.