事件经过
LangChain 1.3.9 之前的版本在文件搜索代理中间件和文档加载程序中包含多个路径遍历和沙箱逃逸缺陷(CWE-22、CWE-59)。文件搜索代理验证起始目录但不验证搜索模式或符号链接目标,所以 glob 模式和符号链接可以到达配置的根目录外的文件。提示和链/代理配置加载程序接受不受信任基限制的路径字段。路径前缀授权检查按字符串前缀进行比较,不考虑路径段边界,允许共享前缀的兄弟路径。当路径值或工作空间内容受到不受信任的 LLM 处理输入的影响时,可以披露预期边界外的文件。CVSS 5.1 中等;由 GitHub CNA 于 2026-06-22 发布;在 1.3.9 中修复。
影响分析
LangChain 是最广泛部署的 LLM/代理框架之一。当 LLM 代理处理不受信任的数据(来自文档、网页或用户提示)并将路径值传递给这些组件时,攻击者可以从代理的主机读取任意文件——包括秘密、SSH 密钥和模型权重——不需要在 LLM 本身中存在任何明确的漏洞。这是从提示注入到文件系统窃取的具体路径。
攻击途径
LLM 代理处理不受信任的输入(文档、提示或工具响应),将攻击者控制的路径值或 glob 模式传递给 LangChain 文件搜索或加载程序组件,导致通过路径遍历或符号链接跟踪进行超出根目录的文件披露。
受影响系统
LangChain(langchain-ai/langchain)< 1.3.9
缓解措施
升级至 LangChain ≥ 1.3.9。提交:https://github.com/langchain-ai/langchain/commit/dcaf7795a3e6590af55c3ff7bda6add6355e9ea6