Vulnerabilidade crítica no LangChain Core pode comprometer segredos

BR Defense Center (By River de Morais e Silva)
vulnerabilidade

Uma falha de segurança crítica foi identificada no LangChain Core, um pacote Python essencial para aplicações que utilizam modelos de linguagem. A vulnerabilidade, classificada como CVE-2025-68664 e com um CVSS de 9.3, permite que atacantes explorem funções de serialização, como dumps() e dumpd(), para injetar dados maliciosos e potencialmente roubar segredos sensíveis. O problema reside na falta de escape de dicionários que contêm chaves ’lc’, que são usadas internamente pelo LangChain. Isso pode resultar na extração de segredos de variáveis de ambiente e na execução de código arbitrário. Para mitigar a vulnerabilidade, a equipe do LangChain lançou um patch que altera as configurações padrão, bloqueando a execução de templates Jinja2 e desativando a carga automática de segredos do ambiente. Além disso, uma falha semelhante foi encontrada no LangChain.js, com a CVE-2025-68665, que também permite a extração de segredos. Dada a gravidade da situação, os usuários são fortemente aconselhados a atualizar para versões corrigidas o mais rápido possível.

Fonte: https://thehackernews.com/2025/12/critical-langchain-core-vulnerability.html

🚨
BR DEFENSE CENTER: SECURITY BRIEFING
26/12/2025 • Risco: CRITICO
VULNERABILIDADE

Vulnerabilidade crítica no LangChain Core pode comprometer segredos

RESUMO EXECUTIVO
A vulnerabilidade CVE-2025-68664 no LangChain Core pode permitir a extração de segredos e execução de código, exigindo ação imediata de CISOs para atualizar sistemas e proteger dados sensíveis.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido à exposição de dados sensíveis e possíveis ações legais.
Operacional
Possibilidade de extração de segredos e execução de código arbitrário.
Setores vulneráveis
['Tecnologia', 'Financeiro', 'Saúde']

📊 INDICADORES CHAVE

CVSS score de 9.3 para CVE-2025-68664 Indicador
CVSS score de 8.6 para CVE-2025-68665 Contexto BR
Versões corrigidas: langchain-core 1.2.5 e 0.3.81 Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a versão do LangChain Core em uso.
2 Atualizar para a versão corrigida 1.2.5 ou 0.3.81.
3 Monitorar logs de acesso e atividades suspeitas relacionadas a aplicações que utilizam LangChain.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a segurança de dados sensíveis e a integridade das aplicações que utilizam LLMs, especialmente em um cenário onde a proteção de dados é crítica.

⚖️ COMPLIANCE

Implicações na LGPD devido à exposição de dados sensíveis.
Status
patch_disponivel
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).