LangChain langchain-experimental 任意代码执行 (CVE-2024-27444)

2024年2月27日下午2:00 • 漏洞

漏洞类型	代码注入	发现时间	2024-02-27	漏洞等级	高危
MPS编号	MPS-1t8v-pu7m	CVE编号	CVE-2024-27444	漏洞影响广度	广

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

LangChain Experimental 在 pal_chain/base.py 中未禁止对特定Python属性的访问，这些属性包括__import__、__subclasses__、__builtins__、__globals__、__getattribute__、__bases__、__mro__、__base__。攻击者可以通过这些属性绕过CVE-2023-44467的修复措施执行任意代码。
参考链接：https://www.oscs1024.com/hd/MPS-1t8v-pu7m

影响范围及处置方案

OSCS 平台影响范围和处置方案

暂无

影响范围	处置方式	处置方法
参考链接：https://www.oscs1024.com/hd/MPS-1t8v-pu7m

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-1t8v-pu7m

https://nvd.nist.gov/vuln/detail/CVE-2024-27444

https://github.com/langchain-ai/langchain/commit/de9a6cdf163ed00adaf2e559203ed0a9ca2f1de7

https://github.com/advisories/GHSA-v8vj-cv27-hjv8

CVE-2024-27444 漏洞

赞 (0)

Apache DolphinScheduler<3.2.1 任意代码执行漏洞 (CVE-2024-23320)

上一篇 2024年2月26日下午12:00

Apache Camel ExchangeCreatedEvent 信息泄漏 (CVE-2024-22371)

下一篇 2024年2月27日下午4:00

漏洞

XXL-JOB <2.4.0 XSS漏洞 (CVE-2023-48088)

漏洞类型 XSS 发现时间 2023-11-15 漏洞等级中危 MPS编号 MPS-hy21-w7s8 CVE编号 CVE-2023-48088 漏洞影响广度一般漏洞危害 OSCS 描述 XXL-JOB是一个基于java语言的分布式任务调度平台。XXL-JOB-Admin是该平台负责任务的创建、更新、删除和触发的管理组件。由于在查询 /xxl-job…

2023年11月16日
00
漏洞

Apache James Server JMX端点暴露反序列化漏洞 (CVE-2023-51518)

漏洞类型反序列化发现时间 2024-02-27 漏洞等级低危 MPS编号 MPS-f8st-hpv7 CVE编号 CVE-2023-51518 漏洞影响广度一般漏洞危害 OSCS 描述 Apache James 提供在 JVM 上运行的完整、稳定、安全和可扩展的邮件服务器。 Apache James 服务器中 JMX 端点在认证前对未经验证的数据…

2024年2月28日
00
漏洞

NPM组件 @ai0x1337/budoux-extension 等窃取主机敏感信息

【高危】NPM组件 @ai0x1337/budoux-extension 等窃取主机敏感信息漏洞描述当用户安装受影响版本的 @ai0x1337/budoux-extension 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-a53u-ni9v 处置建议强烈建议修复发现时间 2…

2025年7月29日
00
漏洞

PyPI仓库 iscc-flag 组件内嵌恶意木马

【高危】PyPI仓库 iscc-flag 组件内嵌恶意木马漏洞描述当用户安装受影响版本的 iscc-flag Python组件包时会下载恶意木马 run.bat，窃取Windows系统敏感信息并进行远控。 MPS编号 MPS-7d9y-rvtn 处置建议强烈建议修复发现时间 2025-07-16 投毒仓库 pip 投毒类型主机信息收集、后门文件利…

2025年7月17日
00
漏洞

Apache UIMA Java SDK <3.5.0 反序列化漏洞 (CVE-2023-39913)

漏洞类型反序列化发现时间 2023-11-08 漏洞等级高危 MPS编号 MPS-8r5d-9m7h CVE编号 CVE-2023-39913 漏洞影响广度小漏洞危害 OSCS 描述 Apache UIMA 是一个用于分析非结构化内容（比如文本、视频和音频）的组件架构和软件框架实现。由于Apache UIMA Java SDK在反序列化Java对…

2023年11月9日
00