何が起きたか
LangChainバージョン1.3.9より前はファイル検索エージェントミドルウェアおよびドキュメントローダーで複数のパストラバーサルおよびサンドボックス脱出の欠陥を含みます(CWE-22、CWE-59)。ファイル検索エージェントは開始ディレクトリを検証しますが、検索パターンまたはシンボリックリンクターゲットは検証しません。グロブパターンおよびシンボリックリンクは構成ルートの外部のファイルに到達できます。プロンプトおよびチェーン/エージェント構成ローダーは、信頼されたベースへの解決を限定することなくパスフィールドを受け入れます。パスプレフィックス認可チェックは文字列プレフィックスで比較し、パスセグメント境界を持たないため、プレフィックスを共有するシブリングパスを許可します。パス値またはワークスペースコンテンツが信頼できないLLM処理入力の影響を受けるとき、意図された境界の外部のファイルを開示できます。CVSS 5.1 Medium。GitHub CNAにより2026年6月22日に公開。1.3.9で修正。
なぜ重要か
LangChainは最も広く展開されているLLM/エージェントフレームワークの1つです。LLMエージェントが信頼できないデータ(ドキュメント、Webページ、またはユーザープロンプトから)を処理し、パス値をこれらのコンポーネントに渡すとき、攻撃者はエージェントのホストから任意のファイル(秘密、SSHキー、およびモデルウェイトを含む)を読み取ることができます。LLM自体の明示的な脆弱性を持たないで。これはプロンプトインジェクションからファイルシステム抜き出しへの具体的なパスです。
攻撃経路
LLMエージェントが信頼できない入力(ドキュメント、プロンプト、またはツール応答)を処理し、攻撃者が制御するパス値またはグロブパターンをLangChainファイル検索またはローダーコンポーネントに渡し、パストラバーサルまたはシンボリックリンク追跡経由でルート外のファイル開示を引き起こします。
影響を受けるシステム
LangChain (langchain-ai/langchain) < 1.3.9
緩和策
LangChain ≥ 1.3.9にアップグレードしてください。コミット:https://github.com/langchain-ai/langchain/commit/dcaf7795a3e6590af55c3ff7bda6add6355e9ea6