Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09014

Опубликовано: 23 июн. 2025
Источник: fstec
CVSS3: 8.4
CVSS2: 9
EPSS Низкий

Описание

Уязвимость фреймворка для создания приложений на основе комбинирования языковах моделей (LLM) LangChain связана с недостаточной проверкой запросов на стороне сервера. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку

Вендор

LangChain Inc

Наименование ПО

LangChain

Версия ПО

до 0.0.28 (LangChain)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/langchain-ai/langchain/commit/e188d4ecb085d4561a0be3c583d26aa9c2c3283f

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 11%
0.00039
Низкий

8.4 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2025-2828

CVSS3: 8.3
redhat
около 2 месяцев назад

A Server-Side Request Forgery (SSRF) vulnerability exists in the RequestsToolkit component of the langchain-community package (specifically, langchain_community.agent_toolkits.openapi.toolkit.RequestsToolkit) in langchain-ai/langchain version 0.0.27. This vulnerability occurs because the toolkit does not enforce restrictions on requests to remote internet addresses, allowing it to also access local addresses. As a result, an attacker could exploit this flaw to perform port scans, access local services, retrieve instance metadata from cloud environments (e.g., Azure, AWS), and interact with servers on the local network. This issue has been fixed in version 0.0.28.

nvd логотип

CVE-2025-2828

CVSS3: 10
nvd
около 2 месяцев назад

A Server-Side Request Forgery (SSRF) vulnerability exists in the RequestsToolkit component of the langchain-community package (specifically, langchain_community.agent_toolkits.openapi.toolkit.RequestsToolkit) in langchain-ai/langchain version 0.0.27. This vulnerability occurs because the toolkit does not enforce restrictions on requests to remote internet addresses, allowing it to also access local addresses. As a result, an attacker could exploit this flaw to perform port scans, access local services, retrieve instance metadata from cloud environments (e.g., Azure, AWS), and interact with servers on the local network. This issue has been fixed in version 0.0.28.

github логотип

GHSA-h5gc-rm8j-5gpr

CVSS3: 8.4
github
около 2 месяцев назад

LangChain Community SSRF vulnerability exists in RequestsToolkit component

EPSS

Процентиль: 11%
0.00039
Низкий

8.4 High

CVSS3

9 Critical

CVSS2