CVE-2026-26013

Nome do Software Vulnerável e Versões Afetadas Versões do LangChain anteriores à 1.2.11

Descrição O LangChain é um framework utilizado para construir aplicações baseadas em grandes modelos de linguagem (LLMs). Existe uma falha no método ChatOpenAI.get num tokens from messages(), na qual ele recupera URLs de imagens sem a devida validação ao calcular a contagem de tokens para modelos com capacidades de visão. Isso pode ser explorado para desferir ataques de Server-Side Request Forgery (SSRF). Os atacantes podem conseguir isso fornecendo URLs de imagens maliciosas como parte da entrada fornecida pelo usuário. A função vulnerável é ChatOpenAI.get num tokens from messages(). O parâmetro vulnerável é image url.

Recomendações Atualize o LangChain para a versão 1.2.11 ou posterior.