CVE-2026-26019

Nome do Software Vulnerável e Versões Afetadas Versões do LangChain anteriores à 1.1.14

Descrição A classe RecursiveUrlLoader dentro do componente @langchain/community é um web crawler que segue links recursivamente a partir de uma URL inicial. A opção preventOutside, destinada a restringir o rastreamento ao mesmo site, utilizava String.startsWith() para comparação de URL, o que não realiza validação semântica de URL. Isso permitiu que atacantes que controlam o conteúdo da página rastreada incluíssem links para infraestrutura controlada por atacantes ou interna, explorando domínios que compartilham um prefixo de string com o alvo. O crawler também carecia de validação contra endereços IP privados ou reservados, permitindo acesso a serviços de metadados de nuvem, localhost e endereços RFC 1918. Um atacante influenciando o conteúdo da página rastreada poderia potencialmente buscar metadados de instância de nuvem, acessar serviços internos em redes privadas, conectar-se a serviços localhost ou exfiltrar dados de resposta. O problema é explorável em ambientes onde o crawler tem acesso a metadados de nuvem ou serviços internos.

Recomendações Versões anteriores à 1.1.14 devem ser atualizadas para a versão 1.1.14 ou posterior.