出典: Security NEXT – https://www.security-next.com/178953
「LangChain」に深刻な脆弱性 – APIキー流出のおそれ
「LangChain」に深刻な脆弱性 – APIキー流出のおそれ
Pythonベースの大規模言語モデル(LLM)アプリケーションの開発フレームワークである「LangChain」に深刻な脆弱性が明らかとなった。JavaScript環境向けの「LangChain JS」についても脆弱性が報告されている。
内部データの変換処理において適切にエスケープ処理が実施されない脆弱性「CVE-2025-68664」が判明したもの。特定の構成においてデシリアライズ時にコードが実行され、環境変数に格納されているAPIキーなどシークレット情報が取得されるおそれがある。
ストリーミング、メッセージ履歴の管理、ベクトルストアのロードなど幅広い処理で影響を受けるという。
CVE番号を採番したGitHubでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.1」とし、重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングした。
開発チームでは脆弱性に対処し、仕様の変更によるセキュリティを強化した「langchain-core 1.2.5」「同0.3.81」を提供している。互換
