CVE-2026-41488

Name of the Vulnerable Software and Affected Versions langchain-openai versões anteriores a 1.1.14

Description A função auxiliar url to size(), utilizada por get num tokens from messages para a contagem de tokens de imagem, contém uma falha de Time-of-Check to Time-of-Use (TOCTOU). A função valida URLs para proteção contra Server-Side Request Forgery (SSRF) e, posteriormente, as busca usando uma operação de rede separada com resolução de DNS independente. Isso cria uma janela de DNS rebinding onde um nome de host controlado por um invasor pode resolver para um IP público durante a fase de validação e, em seguida, resolver para um IP privado ou localhost durante a operação de busca real.

Recommendations Atualize para a versão 1.1.14 ou posterior.