CVE-2025-68665

Nome do Software Vulnerável e Versões Afetadas Versões do LangChain anteriores a 0.3.37 Versões do @langchain/core anteriores a 0.3.80 Versões do LangChain anteriores a 1.2.3 Versões do @langchain/core anteriores a 1.1.8

Descrição O LangChain é um framework projetado para construir aplicações alimentadas por Modelos de Linguagem de Grande Porte (LLMs). Existe um problema de serialização no método toJSON() do LangChain JS, impactando versões anteriores a 0.3.37 e 1.2.3 para o LangChain, e anteriores a 0.3.80 e 1.1.8 para o @langchain/core. Este problema surge porque o método não escapa corretamente objetos contendo chaves 'lc' ao serializar dados usando JSON.stringify(). A chave 'lc' é usada internamente pelo LangChain para identificar objetos serializados. Se os dados fornecidos pelo usuário incluírem esta estrutura de chave, eles podem ser interpretados incorretamente como um objeto LangChain legítimo durante a desserialização, em vez de serem tratados como dados simples do usuário. Isso poderia potencialmente levar ao acesso não autorizado ou manipulação de dados.

Recomendações Atualize para o LangChain versão 0.3.37 ou posterior. Atualize para o @langchain/core versão 0.3.80 ou posterior. Atualize para o LangChain versão 1.2.3 ou posterior. Atualize para o @langchain/core versão 1.1.8 ou posterior.