技術的な説明
0.3.85より前のLangChainバージョン(v0)および1.3.3より前のバージョン(v1)には、過度に広いオブジェクト許可リストを使用してrun inputs、run outputs、またはその他のアプリケーション制御ペイロードを逆シリアライゼーションするランタイムコードパスが含まれています。これらのパスはpermissiveな逆シリアライゼーション設定でload()を呼び出し、攻撃者がprompt injection、MCPツールレスポンス、またはシリアライズされたrun stateに流入するRAG取得結果を含むagent runsを通過するデータに影響を与えることができる場合、任意のコード実行を可能にする可能性があります。
攻撃経路
LangChain run input or outputデータに影響を与えることができる攻撃者(例えば、agentのツールレスポンスへのprompt injection、悪意のあるRAGドキュメントコンテンツ、または侵害されたMCPサーバーレスポンスを介して)が、unsafe逆シリアライゼーションパスをトリガーし、ホストプロセス内でコード実行を達成する可能性があります。agentが信頼できない外部データを処理する場合、認証は不要です。
影響を受けるシステム
LangChainバージョン0.x 0.3.85未満および1.x 1.3.3未満。enterprise agentic AIパイプライン、RAGアプリケーション、およびLLMツール使用フレームワーク全体に広く展開されています。
緩和策
直ちにlangchain >= 0.3.85 (v0ブランチ)または >= 1.3.3 (v1ブランチ)にアップグレードしてください。信頼できない外部データ(ユーザー入力、ウェブコンテンツ、ドキュメント取得、ツールレスポンス)を処理するすべてのLangChain agentパイプラインの潜在的な悪用パスを監査してください。カスタム統合でpermissiveな逆シリアライゼーション設定によるload()の使用を確認してください。