CVE-2025-68664

plus petit que 1 minute de lecture

Mis à jour : December 27, 2025

Injection de Sérialisation dans LangChain

Une faille de sécurité, identifiée sous la référence CVE-2025-68664, a été découverte dans le framework LangChain. Elle concerne la manière dont les fonctions dumps() et dumpd() gèrent la sérialisation des données.

Points Clés :

Nature de la vulnérabilité : Injection de sérialisation.
Composant affecté : LangChain, dans les versions antérieures à 0.3.81 et 1.2.5.
Cause : Les fonctions dumps() et dumpd() ne parviennent pas à échapper correctement les dictionnaires contenant la clé 'lc'. Cette clé est utilisée par LangChain pour identifier les objets sérialisés. Lorsque des données contrôlées par l’utilisateur incluent cette structure de clé, le système la considère à tort comme un objet LangChain légitime lors de la désérialisation.

Vulnérabilités :

CVE-2025-68664 : Permet potentiellement l’exfiltration de variables d’environnement sensibles et l’exécution de code.

Recommandations :

Mettre à jour LangChain vers la version 0.3.81 ou supérieure, ou vers la version 1.2.5 ou supérieure.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-68664

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast