Apa yang terjadi
Versi LangChain sebelum 1.3.9 mengandung beberapa kerentanan traversal jalur dan escape kotak pasir (CWE-22, CWE-59) dalam middleware agen pencarian file dan pemuat dokumen. Agen pencarian file memvalidasi direktori awal tetapi bukan pola pencarian atau target symlink, jadi pola glob dan symlink dapat mencapai file di luar direktori akar yang dikonfigurasi. Pemuat rantai/agen konfigurasi prompt menerima bidang jalur tanpa membatasi resolusi ke basis terpercaya. Pemeriksaan otorisasi awalan jalur membandingkan dengan awalan string tanpa batas segmen jalur, memungkinkan jalur sibling yang berbagi awalan. Ketika nilai jalur atau konten ruang kerja dipengaruhi oleh masukan yang diproses LLM tidak terpercaya, file di luar batas yang ditentukan dapat diungkapkan. CVSS 5.1 Medium; diterbitkan oleh GitHub CNA pada 2026-06-22; diperbaiki di 1.3.9.
Mengapa penting
LangChain adalah salah satu kerangka kerja LLM/agen yang paling banyak digunakan. Ketika agen LLM memproses data tidak terpercaya (dari dokumen, halaman web, atau prompt pengguna) dan melewatkan nilai jalur ke komponen ini, penyerang dapat membaca file arbitrer dari host agen — termasuk rahasia, kunci SSH, dan bobot model — tanpa kerentanan eksplisit apa pun dalam LLM itu sendiri. Ini adalah jalur konkret dari injeksi prompt ke eksfiltrasi sistem file.
Vektor serangan
Agen LLM yang memproses masukan tidak terpercaya (dokumen, prompt, atau respons alat) meneruskan nilai jalur atau pola glob yang dikendalikan penyerang ke komponen pencarian file atau pemuat LangChain, menyebabkan pengungkapan file di luar akar melalui traversal jalur atau pengikutan symlink.
Sistem yang terdampak
LangChain (langchain-ai/langchain) < 1.3.9
Mitigasi
Upgrade ke LangChain ≥ 1.3.9. Komit: https://github.com/langchain-ai/langchain/commit/dcaf7795a3e6590af55c3ff7bda6add6355e9ea6