GHSA-f73w-4m7g-ch9x

Опубликовано: 01 сент. 2023

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Langchain vulnerable to arbitrary code execution via the evaluate function in the numexpr library

An issue in LanChain-ai Langchain v.0.0.245 allows a remote attacker to execute arbitrary code via the evaluate function in the numexpr library.

Patches: Released in v.0.0.308. numexpr dependency is optional for langchain.

Ссылки

Пакеты

Наименование

langchain

pip

Затронутые версииВерсия исправления

< 0.0.308

0.0.308

Наименование

numexpr

pip

Затронутые версииВерсия исправления

< 2.8.5

2.8.5

EPSS

Процентиль: 77%

0.01145

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2023-39631

Дефекты

CWE-94

Связанные уязвимости

CVE-2023-39631

CVSS3: 9.8

nvd

почти 2 года назад

An issue in LanChain-ai Langchain v.0.0.245 allows a remote attacker to execute arbitrary code via the evaluate function in the numexpr library.

ROS-20250203-08

CVSS3: 9.8

redos

5 месяцев назад

Уязвимость python3-numexpr

BDU:2025-01410

CVSS3: 9.8

fstec

больше 2 лет назад

Уязвимость библиотеки numexpr фреймворка для создания приложений на основе комбинирования языковах моделей LangChain, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 77%

0.01145

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2023-39631

Дефекты

CWE-94