1. 墨知首页
  2. 漏洞

LangChain langchain-experimental 任意代码执行 (CVE-2024-27444)

漏洞
漏洞类型 代码注入 发现时间 2024-02-27 漏洞等级 高危
MPS编号 MPS-1t8v-pu7m CVE编号 CVE-2024-27444 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
LangChain Experimental 在 pal_chain/base.py 中未禁止对特定Python属性的访问,这些属性包括__import__、__subclasses__、__builtins__、__globals__、__getattribute__、__bases__、__mro__、__base__。攻击者可以通过这些属性绕过CVE-2023-44467的修复措施执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-1t8v-pu7m

影响范围及处置方案

OSCS 平台影响范围和处置方案

暂无

影响范围 处置方式 处置方法
参考链接:https://www.oscs1024.com/hd/MPS-1t8v-pu7m

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-1t8v-pu7m

https://nvd.nist.gov/vuln/detail/CVE-2024-27444

https://github.com/langchain-ai/langchain/commit/de9a6cdf163ed00adaf2e559203ed0a9ca2f1de7

https://github.com/advisories/GHSA-v8vj-cv27-hjv8

(0)
上一篇 2024年2月26日 下午12:00
下一篇 2024年2月27日 下午4:00

相关推荐

  • Spring Web UriComponentsBuilder URL解析不当漏洞 (CVE-2024-22243) 漏洞

    Spring Web UriComponentsBuilder URL解析不当漏洞 (CVE-2024-22243)

    漏洞类型 SSRF 发现时间 2024-02-21 漏洞等级 高危 MPS编号 MPS-uwzo-gx91 CVE编号 CVE-2024-22243 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Framework 是一个开源的Java应用程序框架,UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。 受…

    2024年2月23日
    0
  • minizip-ng<4.0.3 存在堆缓冲区溢出漏洞 (CVE-2023-48106) 漏洞

    minizip-ng<4.0.3 存在堆缓冲区溢出漏洞 (CVE-2023-48106)

    漏洞类型 堆缓冲区溢出 发现时间 2023-11-23 漏洞等级 高危 MPS编号 MPS-7wpn-d9ve CVE编号 CVE-2023-48106 漏洞影响广度 小 漏洞危害 OSCS 描述 minizip-ng 是一个开源的压缩库,用于创建和解压ZIP格式文件。 minizip-ng 4.0.3之前版本中的 mz_os.c#mz_path_resol…

    2023年11月23日
    0
  • Microsoft Word NTLM哈希信息泄露漏洞 (CVE-2023-36761) 漏洞

    Microsoft Word NTLM哈希信息泄露漏洞 (CVE-2023-36761)

    漏洞类型 未授权敏感信息泄露 发现时间 2023-09-13 漏洞等级 中危 MPS编号 MPS-mir2-plxk CVE编号 CVE-2023-36761 漏洞影响广度 广 漏洞危害 OSCS 描述 Microsoft Office Word是微软公司的一个文字处理器应用程序。 Microsoft Word受影响版本中存在信息泄露漏洞,使用预览窗格对文件…

    2023年9月14日
    0
  • Dataease <2.10.11 PostgreSQL数据源JDBC连接参数绕过漏洞 漏洞

    Dataease <2.10.11 PostgreSQL数据源JDBC连接参数绕过漏洞

    【高危】Dataease <2.10.11 PostgreSQL数据源JDBC连接参数绕过漏洞 漏洞描述 DataEase是一款开源的数据可视化分析工具,提供数据分析、图表展示和仪表盘设计功能,广泛应用于企业数据分析场景。受影响版本中,仅对 JDBC 连接字符串中的 socketFactory 和 socketFactoryArg 参数进行黑名单限制,…

    2025年7月1日
    0
  • Apache Airflow Drill Provider < 2.4.3 存在任意文件读取漏洞 (CVE-2023-39553) 漏洞

    Apache Airflow Drill Provider < 2.4.3 存在任意文件读取漏洞 (CVE-2023-39553)

    漏洞类型 输入验证不恰当 发现时间 2023/8/11 漏洞等级 中危 MPS编号 MPS-bv31-4lqj CVE编号 CVE-2023-39553 漏洞影响广度 – 漏洞危害 OSCS 描述 Apache Airflow Drill Provider 是 Apache Airflow 项目中的一个模块,用于提供与 Apache Drill …

    2023年9月1日
    0