JVN iPedia http://jvndb.jvn.jp Advisory JVNDB-2026-001701 LangChainのバージョン0.3.1まで（含む）には、MRKLOutputParser.parse()メソッド(libs/langchain/langchain/agents/mrkl/output_parser.py)に正規表現によるサービス拒否（ReDoS）脆弱性があります。このパーサは、モデル出力からツールのアクションを抽出する際にバックトラッキングが発生しやすい正規表現を使用しています。攻撃者は解析されるテキストを供給または操作でき（例えば、LLMの出力を直接MRKLOutputParser.parse()に渡す下流アプリケーションでのプロンプトインジェクションを介して）、細工されたペイロードを提供することで過剰なCPU消費を引き起こし、重大な解析遅延およびサービス拒否状態を発生させる可能性があります。 cpe:/a:langchain:langchain https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-001701.html Common Vulnerabilities and Exposures (CVE) CVE-2024-58340 https://www.cve.org/CVERecord?id=CVE-2024-58340 National Vulnerability Database (NVD) CVE-2024-58340 https://nvd.nist.gov/vuln/detail/CVE-2024-58340 JVNDB CWE-1333 https://cwe.mitre.org/data/definitions/1333.html VulnCheck Advisories LangChain <= 0.3.1 MRKLOutputParser ReDoS | Advisories | VulnCheck https://www.vulncheck.com/advisories/langchain-mrkloutputparser-redos huntr huntr - The world’s first bug bounty platform for AI/ML https://huntr.com/bounties/e7ece02c-d4bb-4166-8e08-6baf4f8845bb 関連文書 GitHub - langchain-ai/langchain: The platform for reliable agents. https://github.com/langchain-ai/langchain 関連文書 LangChain https://www.langchain.com/ 2026-01-23T14:20:18+09:00 2026-01-23T14:20:18+09:00