CVE-2024-1455

Опубликовано: 26 мар. 2024

Источник: nvd

CVSS3: 5.9

EPSS Низкий

Описание

A vulnerability in the langchain-ai/langchain repository allows for a Billion Laughs Attack, a type of XML External Entity (XXE) exploitation. By nesting multiple layers of entities within an XML document, an attacker can cause the XML parser to consume excessive CPU and memory resources, leading to a denial of service (DoS).

Ссылки

https://github.com/langchain-ai/langchain/commit/727d5023ce88e18e3074ef620a98137d26ff92a3
Patch
https://huntr.com/bounties/4353571f-c70d-4bfd-ac08-3a89cecb45b6
Exploit
Third Party Advisory
https://github.com/langchain-ai/langchain/commit/727d5023ce88e18e3074ef620a98137d26ff92a3
Patch
https://huntr.com/bounties/4353571f-c70d-4bfd-ac08-3a89cecb45b6
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:langchain:langchain:*:*:*:*:*:*:*:*

Версия от 0.1.4 (включая) до 0.1.35 (включая)

EPSS

Процентиль: 29%

0.00103

Низкий

5.9 Medium

CVSS3

5.9 Medium

CVSS3

Дефекты

CWE-776

Связанные уязвимости

GHSA-q84m-rmw3-4382

CVSS3: 5.9

github

почти 2 года назад

LangChain's XMLOutputParser vulnerable to XML Entity Expansion

EPSS

Процентиль: 29%

0.00103

Низкий

5.9 Medium

CVSS3

5.9 Medium

CVSS3

Дефекты

CWE-776