CVE-2025-68664

plus petit que 1 minute de lecture

Mis à jour : December 29, 2025

Injection de Sérialisation dans LangChain

Une faille de sécurité, identifiée comme CVE-2025-68664, a été découverte dans le framework LangChain, utilisé pour le développement d’applications basées sur des modèles de langage et d’agents. Les versions antérieures à 0.3.81 et 1.2.5 sont affectées.

Points Clés :

Nature de la vulnérabilité : Injection de sérialisation.
Composants affectés : Les fonctions dumps() et dumpd() au sein de LangChain.
Cause : Défaut d’échappement correct des dictionnaires contenant la clé 'lc' lors de la sérialisation.
Mécanisme d’attaque : La clé 'lc', utilisée en interne par LangChain pour identifier les objets sérialisés, est mal interprétée par le système lorsqu’elle est présente dans des données contrôlées par l’utilisateur. Le système la considère alors comme un objet LangChain légitime au lieu de données utilisateur ordinaires.

Vulnérabilités :

CVE : CVE-2025-68664
Impact potentiel : Exfiltration de variables d’environnement sensibles et possibilité d’exécution de code à distance.

Recommandations :

Mettre à jour LangChain vers les versions 0.3.81 ou 1.2.5 ou ultérieures pour corriger la vulnérabilité.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-68664

Partager sur

Vous pourriez aimer

Zoom Stealer browser extensions harvest corporate meeting intelligence

Extension de navigateur : une menace pour la confidentialité des réunions en ligne

Using AI-Generated Images to Get Refunds

Fraude en ligne : l’IA au service des escroqueries aux remboursements

US cybersecurity experts plead guilty to BlackCat ransomware attacks

Silver Fox Targets Indian Users With Tax-Themed Emails Delivering ValleyRAT Malware

Campagne d’hameçonnage ciblant l’Inde avec le malware ValleyRAT