무슨 일이 있었나
LangChain 버전 1.3.9 이전은 파일 검색 에이전트 미들웨어 및 문서 로더의 경로 순회 및 샌드박스 탈출 결함 복수(CWE-22, CWE-59)를 포함합니다. 파일 검색 에이전트는 시작 디렉토리를 검증하지만 검색 패턴이나 심볼릭 링크 대상을 검증하지 않으므로, glob 패턴 및 심볼릭 링크는 구성된 루트 외부의 파일에 도달할 수 있습니다. 프롬프트 및 체인/에이전트 구성 로더는 경로 필드를 신뢰할 수 있는 기반으로의 해석을 제한하지 않고 수락합니다. 경로 접두사 인증 검사는 문자열 접두사로 비교하며 경로 세그먼트 경계 없이, 접두사를 공유하는 형제 경로를 허용합니다. 경로 값이나 워크스페이스 콘텐츠가 신뢰할 수 없는 LLM 처리 입력의 영향을 받을 때, 의도된 경계 외부의 파일을 공개할 수 있습니다. CVSS 5.1 중간; GitHub CNA에 의해 2026-06-22에 발행; 1.3.9에서 수정.
왜 중요한가
LangChain은 가장 널리 배포된 LLM/에이전트 프레임워크 중 하나입니다. LLM 에이전트가 신뢰할 수 없는 데이터(문서, 웹 페이지 또는 사용자 프롬프트에서)를 처리하고 경로 값을 이 컴포넌트에 전달할 때, 공격자는 LLM 자체의 명시적 취약점 없이 에이전트 호스트에서 임의 파일을 읽을 수 있습니다(비밀, SSH 키, 모델 가중치 포함). 이것은 프롬프트 주입에서 파일 시스템 탈취로의 구체적인 경로입니다.
공격 경로
신뢰할 수 없는 입력(문서, 프롬프트 또는 도구 응답)을 처리하는 LLM 에이전트가 공격자가 제어하는 경로 값이나 glob 패턴을 LangChain 파일 검색 또는 로더 컴포넌트에 전달하여 경로 순회 또는 심볼릭 링크 추적을 통한 루트 외부 파일 공개를 야기합니다.
영향받는 시스템
LangChain (langchain-ai/langchain) < 1.3.9
완화 방안
LangChain ≥ 1.3.9로 업그레이드하세요. 커밋: https://github.com/langchain-ai/langchain/commit/dcaf7795a3e6590af55c3ff7bda6add6355e9ea6