CVE-2025-68664

plus petit que 1 minute de lecture

Mis à jour : December 28, 2025

LangChain Vulnérabilité d’Injection de Sérialisation

Une faille de sécurité critique, identifiée sous la référence CVE-2025-68664, a été découverte dans la bibliothèque LangChain. Cette vulnérabilité, présente dans les versions antérieures à 0.3.81 et 1.2.5, affecte les fonctions dumps() et dumpd().

Description de la Vulnérabilité :

Le problème réside dans le manque de validation adéquate des dictionnaires contenant la clé spécifique 'lc' lors du processus de sérialisation. LangChain utilise la clé 'lc' pour identifier ses propres objets sérialisés. Lorsque des données contrôlées par un attaquant incluent cette structure de clé, le système la traite à tort comme un objet LangChain légitime lors de la désérialisation, au lieu de la considérer comme des données utilisateur ordinaires.

Impact Potentiel :

Cette mauvaise interprétation peut permettre à un attaquant de réaliser deux actions malveillantes :

Exfiltration de données sensibles : Voler des variables d’environnement confidentielles.
Exécution de code arbitraire : Potentiellement exécuter du code sur le système affecté.

Recommandations :

Il est fortement recommandé de mettre à jour LangChain vers les versions 0.3.81 ou 1.2.5 (ou ultérieures) pour corriger cette vulnérabilité.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-68664

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast