Se ha revelado una error de seguridad crítica en LangChain Core que un atacante podría disfrutar para robar secretos confidenciales e incluso influir en las respuestas del maniquí de habla sobresaliente (LLM) mediante una inyección rápida.
LangChain Core (es sostener, langchain-core) es un paquete central de Python que forma parte del ecosistema LangChain y proporciona las interfaces centrales y abstracciones independientes del maniquí para crear aplicaciones impulsadas por LLM.
La vulnerabilidad, rastreada como CVE-2025-68664, tiene una puntuación CVSS de 9,3 sobre 10,0. Al investigador de seguridad Yarden Porat se le atribuye acaecer informado de la vulnerabilidad el 4 de diciembre de 2025. Tiene el nombre en código LangGrinch.
“Existe una vulnerabilidad de inyección de serialización en las funciones dumps() y dumpd() de LangChain”, dijeron los responsables del plan en un aviso. “Las funciones no escapan a los diccionarios con claves ‘lc’ al serializar diccionarios de formato fugado”.
“LangChain utiliza internamente la secreto ‘lc’ para marcar objetos serializados. Cuando los datos controlados por el becario contienen esta estructura de secreto, se tratan como un objeto LangChain legal durante la deserialización en ocasión de datos simples del becario”.
Según Porat, investigador de Cyata, el meollo del problema tiene que ver con que las dos funciones no logran escapar de los diccionarios controlados por el becario que contienen claves “lc”. El señalador “lc” representa objetos LangChain en el formato de serialización interno del situación.
“Entonces, una vez que un atacante puede hacer que un caracolillo de orquestación de LangChain serialice y luego deserialice el contenido, incluida una secreto ‘lc’, creará una instancia de un objeto improcedente inseguro, lo que potencialmente desencadenará muchas rutas amigables para el atacante”, dijo Porat.
Esto podría tener varios resultados, incluida la linaje de secretos de variables de entorno cuando la deserialización se realiza con “secrets_from_env=True” (previamente configurado de forma predeterminada), la creación de instancias de clases adentro de espacios de nombres confiables aprobados previamente, como langchain_core, langchain y langchain_community, y potencialmente incluso conducir a la ejecución de código improcedente a través de plantillas Jinja2.
Es más, el error de escape permite la inyección de estructuras de objetos LangChain a través de campos controlados por el becario como metadatos, adicional_kwargs o respuesta_metadata mediante inyección rápida.
El parche osado por LangChain introduce nuevos títulos predeterminados restrictivos en load() y loads() mediante un parámetro de directorio permitida “allowed_objects” que permite a los usuarios especificar qué clases se pueden serializar/deserializar. Por otra parte, las plantillas de Jinja2 están bloqueadas de forma predeterminada y la opción “secrets_from_env” ahora está configurada en “False” para deshabilitar la carga cibernética de secretos desde el entorno.
Las siguientes versiones de langchain-core se ven afectadas por CVE-2025-68664:
Vale la pena señalar que existe una error de inyección de serialización similar en LangChain.js que además se debe a que no se escapan correctamente los objetos con claves “lc”, lo que permite la linaje secreta y la inyección rápida. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2025-68665 (puntuación CVSS: 8,6).
Afecta a los siguientes paquetes npm:
- @langchain/núcleo >= 1.0.0,
- @langchain/núcleo
- cautiverio de idiomas >= 1.0.0,
- cautiverio larga
A la luz de la pesadez de la vulnerabilidad, se recomienda a los usuarios que actualicen a una interpretación parcheada lo antiguamente posible para una protección óptima.
“El vector de ataque más global es a través de campos de respuesta LLM como adicional_kwargs o respuesta_metadata, que pueden controlarse mediante inyección rápida y luego serializarse/deserializarse en operaciones de transmisión”, dijo Porat. “Este es exactamente el tipo de intersección entre la IA y la seguridad clásica donde las organizaciones quedan sorprendidas. Los resultados del LLM son un insumo en el que no se confía”.
