Уязвимость LangChain

Мегамодель с открытым исходным кодом LangChain раскрыла уязвимость сериализационной инъекции (CVE-2025-68664), обнаруженную исследователем безопасности Ярденом Поратом из Cyata Security, в которой в процессе сериализации/десериализации отсутствует ключ "lc". Эта уязвимость, обнаруженная исследователем безопасности Ярденом Поратом из Cyata Security, связана с отсутствием ключа "lc" в процессе сериализации/десериализации, что позволяет злоумышленнику утечь переменные окружения, инстанцировать произвольные объекты или даже удаленно выполнить код с помощью prompt injection. Уязвимость затрагивает все развертывания LangChain Core до версии 0.3.81 и в диапазоне версий 1.0.0-1.2.5. Официальные патчи для версий 1.2.5 и 0.3.81 были выпущены 24 декабря, одновременно с этим была ужесточена политика безопасности по умолчанию.