Katalog CVE

CVE-2025-46059

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W wersji langchain-ai v0.3.51 odkryto podatność na pośrednią iniekcję poleceń w komponencie GmailToolkit. Ta podatność umożliwia atakującym wykonanie dowolnego kodu i kompromitację aplikacji za pomocą spreparowanej wiadomości e-mail.

Ocena ryzyka

Organizacja może być narażona na wykonanie złośliwego kodu, co może prowadzić do utraty danych lub przejęcia kontroli nad aplikacją. Istnieje ryzyko, że atakujący wykorzysta tę podatność do szkodliwych działań.

Rekomendacja

Zaleca się przegląd i aktualizację kodu użytkownika, aby zapewnić zgodność z praktykami bezpieczeństwa LangChain. Należy również monitorować aplikację pod kątem podejrzanych wiadomości e-mail.

Oryginalny opis (angielski, źródło NVD)

langchain-ai v0.3.51 was discovered to contain an indirect prompt injection vulnerability in the GmailToolkit component. This vulnerability allows attackers to execute arbitrary code and compromise the application via a crafted email message. NOTE: this is disputed by the Supplier because the code-execution issue was introduced by user-written code that does not adhere to the LangChain security practices.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS