1. 墨知首页
  2. 漏洞

LangChain langchain-experimental 任意代码执行 (CVE-2024-27444)

漏洞
漏洞类型 代码注入 发现时间 2024-02-27 漏洞等级 高危
MPS编号 MPS-1t8v-pu7m CVE编号 CVE-2024-27444 漏洞影响广度 广
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
LangChain Experimental 在 pal_chain/base.py 中未禁止对特定Python属性的访问,这些属性包括__import__、__subclasses__、__builtins__、__globals__、__getattribute__、__bases__、__mro__、__base__。攻击者可以通过这些属性绕过CVE-2023-44467的修复措施执行任意代码。
参考链接:https://www.oscs1024.com/hd/MPS-1t8v-pu7m

影响范围及处置方案

OSCS 平台影响范围和处置方案

暂无

影响范围 处置方式 处置方法
参考链接:https://www.oscs1024.com/hd/MPS-1t8v-pu7m

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-1t8v-pu7m

https://nvd.nist.gov/vuln/detail/CVE-2024-27444

https://github.com/langchain-ai/langchain/commit/de9a6cdf163ed00adaf2e559203ed0a9ca2f1de7

https://github.com/advisories/GHSA-v8vj-cv27-hjv8

(0)
上一篇 2024年2月26日 下午12:00
下一篇 2024年2月27日 下午4:00

相关推荐

  • NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息 漏洞

    NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息

    【高危】NPM组件 @blocks-shared/atom-panel 等窃取主机敏感信息 漏洞描述 当用户安装受影响版本的 @blocks-shared/atom-panel 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-8htd-4bis 处置建议 强烈建议修复 发现时间 202…

    2025年7月13日
    0
  • Microsoft Edge(Chromium-based)任意代码执行漏洞 (CVE-2023-36008) 漏洞

    Microsoft Edge(Chromium-based)任意代码执行漏洞 (CVE-2023-36008)

    漏洞类型 发现时间 2023-11-17 漏洞等级 中危 MPS编号 MPS-3bdv-qu0y CVE编号 CVE-2023-36008 漏洞影响广度 一般 漏洞危害 OSCS 描述 Microsoft Edge(Chromium-based)是微软公司开发的一款浏览器。 Microsoft Edge(Chromium-based)存在任意代码执行漏洞。该…

    2023年11月18日
    0
  • JeecgBoot SQL注入漏洞 漏洞

    JeecgBoot SQL注入漏洞

    【高危】JeecgBoot SQL注入漏洞 漏洞描述 JeecgBoot是一款基于代码生成器的开源企业级低代码开发平台,旨在提高软件开发效率。受影响版本中,接口 /jeecg-boot/online/cgreport/head/parseSql 存在 SQL 注入漏洞。AbstractQueryBlackListHandler.isPass 在对 SQL 语…

    2025年8月26日
    0
  • Apache Johnzon 拒绝服务漏洞 (CVE-2023-33008) 漏洞

    Apache Johnzon 拒绝服务漏洞 (CVE-2023-33008)

    漏洞类型 ReDoS 发现时间 2023/7/7 漏洞等级 中危 MPS编号 MPS-2zow-5vi7 CVE编号 CVE-2023-33008 漏洞影响广度 极小 漏洞危害 OSCS 描述 Apache Johnzon 是用于解析和创建 JSONP 的 Java 库。在 Apache Johnzon 受影响版本中,由于BigDecimal#toBigIn…

    2023年8月30日
    0
  • Kubernetes Windows node 命令注入漏洞 (CVE-2023-5528) 漏洞

    Kubernetes Windows node 命令注入漏洞 (CVE-2023-5528)

    漏洞类型 输入验证不恰当 发现时间 2023-11-15 漏洞等级 高危 MPS编号 MPS-wtbu-j6l2 CVE编号 CVE-2023-5528 漏洞影响广度 小 漏洞危害 OSCS 描述 Kubernetes是一个用于自动部署、扩展和管理容器化应用程序的平台。kubelet是Kubernetes用于运行节点上容器的代理组件(node agent)。…

    2023年11月16日
    0