LangChainフレームワーク

オープンソースのメガモデルLangChainは、Cyata Securityのセキュリティ研究者Yarden Porat氏によって発見された、シリアライズ/デシリアライズ処理において「lc」キーが欠落している深刻度レベルのシリアライズインジェクションの脆弱性（CVE-2025-68664）を公開した。この脆弱性は、Cyata Security 社のセキュリティ研究者 Yarden Porat 氏によって発見されたもので、シリアライズ/デシリアライズ処理において「lc」キーが欠落していることが原因で、攻撃者は環境変数を漏洩させたり、任意のオブジェクトをインスタンス化したり、あるいはプロンプトインジェクションによってリモートからコードを実行したりすることが可能です。この脆弱性は、バージョン0.3.81以前、およびバージョン1.0.0-1.2.5の範囲内のLangChain Coreのすべてのデプロイメントに影響し、12月24日に公式パッチバージョン1.2.5と0.3.81がリリースされ、同時にデフォルトのセキュリティポリシーが強化されました。