CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-46059

Critical
Published: Translated: NVD NIST

Summary

W wersji langchain-ai v0.3.51 odkryto podatność na pośrednią iniekcję poleceń w komponencie GmailToolkit. Ta podatność umożliwia atakującym wykonanie dowolnego kodu i kompromitację aplikacji za pomocą spreparowanej wiadomości e-mail.

Risk Assessment

Organizacja może być narażona na wykonanie złośliwego kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad aplikacją. Istnieje ryzyko, że atakujący wykorzysta tę podatność do szkodliwych działań.

Recommendation

Zaleca się przegląd i aktualizację kodu użytkownika, aby zapewnić zgodność z praktykami bezpieczeństwa LangChain. Należy również monitorować aplikację pod kątem podejrzanych wiadomości e-mail.

Original NVD description (English source)

langchain-ai v0.3.51 was discovered to contain an indirect prompt injection vulnerability in the GmailToolkit component. This vulnerability allows attackers to execute arbitrary code and compromise the application via a crafted email message. NOTE: this is disputed by the Supplier because the code-execution issue was introduced by user-written code that does not adhere to the LangChain security practices.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS