CVE-2024-5998

Опубликовано: 17 сент. 2024

Источник: nvd

CVSS3: 5.2

CVSS3: 7.8

EPSS Низкий

Описание

A vulnerability in the FAISS.deserialize_from_bytes function of langchain-ai/langchain allows for pickle deserialization of untrusted data. This can lead to the execution of arbitrary commands via the os.system function. The issue affects the latest version of the product.

Ссылки

https://github.com/langchain-ai/langchain/commit/604dfe2d99246b0c09f047c604f0c63eafba31e7
Patch
https://huntr.com/bounties/fa3a2753-57c3-4e08-a176-d7a3ffda28fe
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:langchain:langchain:*:*:*:*:*:*:*:*

Версия до 0.2.9 (исключая)

EPSS

Процентиль: 26%

0.0009

Низкий

5.2 Medium

CVSS3

7.8 High

CVSS3

Дефекты

CWE-502

Связанные уязвимости

GHSA-f2jm-rw3h-6phg

CVSS3: 5.2

github

больше 1 года назад

LangChain pickle deserialization of untrusted data

EPSS

Процентиль: 26%

0.0009

Низкий

5.2 Medium

CVSS3

7.8 High

CVSS3

Дефекты

CWE-502