SK-CERT Bezpečnostné varovanie V20251231-02

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP:CLEAR
CVSS Skóre	9.3

Identifikátor

langchain-core – kritická zraniteľnosť

Popis

Vývojári LangChain vydali bezpečnostné aktualizácie pythonovej knižnice langchain-core, ktoré opravujú kritickú zraniteľnosť. CVE-2025-68664 (alias LangGrinch) spočíva v nedostatočnom escapovaní špeciálnych znakov v rámci funkcií dumps() a dumpd() a vzdialený neautentifikovaný útočník by ju prostredníctvom tzv. prompt injection útokov mohol zneužiť na získanie neoprávneného prístupu k citlivým údajom alebo modifikáciu odpovedí LLM modelov a za istých špecifických podmienok aj na vzdialené vykonanie kódu prostredníctvom Jinja2 templatov.

Dátum prvého zverejnenia varovania

23.12.2025

CVE

CVE-2025-68664

IOC

–

Zasiahnuté systémy

langchain-core 0.X vo verziách starších ako 0.3.81 langchain-core 1.X vo verziách starších ako 1.2.5

Následky

Vzdialené vykonanie kódu Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme

Odporúčania

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu zraniteľných systémov.

Zdroje

https://github.com/langchain-ai/langchain/security/advisories/GHSA-c67j-w6g6-q2cm https://nvd.nist.gov/vuln/detail/CVE-2025-68664 https://cyata.ai/blog/langgrinch-langchain-core-cve-2025-68664/ https://thehackernews.com/2025/12/critical-langchain-core-vulnerability.html

« Späť na zoznam