CVE-2025-68664

plus petit que 1 minute de lecture

Mis à jour : December 26, 2025

Injection de Sérialisation dans LangChain

Une vulnérabilité de type injection de sérialisation a été identifiée dans le framework LangChain, affectant les versions antérieures à 0.3.81 et 1.2.5. Le problème réside dans les fonctions dumps() et dumpd() qui ne parviennent pas à échapper correctement les dictionnaires contenant la clé 'lc' lors de la sérialisation.

La clé 'lc' est utilisée par LangChain pour identifier des objets sérialisés. Si des données contrôlées par l’utilisateur incluent cette structure de clé, le système la considère à tort comme un objet LangChain légitime lors de la désérialisation.

Points Clés :

Nature de la vulnérabilité : Injection de sérialisation.
Composant affecté : Fonctions dumps() et dumpd() de LangChain.
Mécanisme : Mauvais échappement de la clé 'lc' dans les dictionnaires.
Impact potentiel : Exfiltration de variables d’environnement sensibles et exécution de code.

Vulnérabilités :

CVE-2025-68664

Recommandations :

Mettre à jour LangChain vers la version 0.3.81 ou 1.2.5, ou une version ultérieure.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-68664

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast