CVE-2025-68664CVE-2025-68664是LangChain框架中的一个高危序列化注入漏洞。该漏洞存在于LangChain的dumps()和dumpd()函数中,在序列化包含'lc'键的自由格式字典时,未对这些键进行适当的转义处理。由于'lc'键是LangChain内部用于标记序列化对象的特殊标识符,攻击者可以通过在用户可控数据中构造恶意的'lc'键结构,使反序列化过程将其误认为是合法的LangChain对象,从而可能导致任意代码执行或敏感数据泄露。此漏洞影响LangChain 0.3.81之前和1.2.5之前的所有版本,CVSS评分高达9.3,属于严重级别。
LangChain框架使用'lc'键作为内部序列化标记,用于标识对象的类型和序列化格式。当dumps()或dumpd()函数处理包含'lc'键的字典时,会将其识别为LangChain的序列化对象而非普通用户数据。攻击者可以利用这一特性,在用户输入中注入精心构造的'lc'结构,绕过安全检查并触发反序列化漏洞。具体来说,攻击者构造的恶意数据可能包含指向危险类的引用或利用链,在反序列化过程中触发代码执行。由于该漏洞无需认证即可利用,且可通过网络远程触发,因此风险极高。