JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2025-024618 LangChainはエージェントおよびLLM対応アプリケーションを構築するためのフレームワークです。バージョン0.3.81および1.2.5より前のバージョンには、LangChainのdumps()およびdumpd()関数にシリアライゼーションインジェクションの脆弱性が存在していました。これらの関数は、自由形式の辞書をシリアライズする際に'lc'キーを持つ辞書をエスケープしません。'lc'キーは、シリアライズされたオブジェクトをマークするためにLangChain内部で使用されています。ユーザー制御のデータにこのキー構造が含まれている場合、デシリアライズ時に通常のユーザーデータではなく正当なLangChainオブジェクトとして扱われます。この問題はバージョン0.3.81および1.2.5で修正されています。 cpe:/a:langchain:langchain_core https://jvndb.jvn.jp/ja/contents/2025/JVNDB-2025-024618.html Common Vulnerabilities and Exposures (CVE) CVE-2025-68664 https://www.cve.org/CVERecord?id=CVE-2025-68664 National Vulnerability Database (NVD) CVE-2025-68664 https://nvd.nist.gov/vuln/detail/CVE-2025-68664 GitHub Advisory Database LangChain serialization injection vulnerability enables secret extraction in dumps/loads APIs Advisory langchain-ai/langchain GitHub https://github.com/langchain-ai/langchain/security/advisories/GHSA-c67j-w6g6-q2cm JVNDB CWE-502 https://cwe.mitre.org/data/definitions/502.html 関連文書 fix(core): serialization patch (#34458) langchain-ai/langchain@d9ec4c5 GitHub https://github.com/langchain-ai/langchain/commit/d9ec4c5cc78960abd37da79b0250f5642e6f0ce6 関連文書 Release langchain-core==0.3.81 langchain-ai/langchain GitHub https://github.com/langchain-ai/langchain/releases/tag/langchain-core%3D%3D0.3.81 関連文書 fix(core): serialization patch by ccurme Pull Request #34455 langchain-ai/langchain GitHub https://github.com/langchain-ai/langchain/pull/34455 関連文書 fix(core): serialization patch by mdrxy Pull Request #34458 langchain-ai/langchain GitHub https://github.com/langchain-ai/langchain/pull/34458 関連文書 fix(core): serialization patch (#34455) langchain-ai/langchain@5ec0fa6 GitHub https://github.com/langchain-ai/langchain/commit/5ec0fa69de31bbe3d76e4cf9cd65a6accb8466c8 関連文書 Release langchain-core==1.2.5 langchain-ai/langchain GitHub https://github.com/langchain-ai/langchain/releases/tag/langchain-core%3D%3D1.2.5 2026-01-15T16:17:25+09:00 2026-01-15T16:17:25+09:00