Se ha descubierto una vulnerabilidad crítica en LangChain Core que podría ser explotada por un atacante para robar secretos confidenciales e incluso influir en las respuestas del modelo de lenguaje grande (LLM) mediante una inyección rápida.
LangChain Core (es decir, langchain-core) es un paquete central de Python que forma parte del ecosistema LangChain y proporciona las interfaces principales y abstracciones independientes del modelo para crear aplicaciones basadas en LLM.
La vulnerabilidad, rastreada como CVE-2025-68664, tiene una puntuación CVSS de 9,3 sobre 10,0. Al investigador de seguridad Yarden Porat se le atribuye haber informado de la vulnerabilidad el 4 de diciembre de 2025. Se le dio el nombre en clave. LargoGrinch.
“Existe una vulnerabilidad de inyección de serialización en las funciones dumps() y dumpd() de LangChain”, dijeron los responsables del proyecto en un aviso. “Al serializar diccionarios de formato libre, las funciones de los diccionarios no se escapan con las teclas 'lc'.”
“LangChain utiliza internamente la clave 'lc' para marcar objetos serializados. Si los datos controlados por el usuario contienen esta estructura de clave, se tratan como un objeto LangChain legítimo durante la deserialización y no como simples datos de usuario”.
Según Porat, investigador de Cyata, el meollo del problema es que las dos funciones no pueden escapar de los diccionarios controlados por el usuario con teclas “lc”. El marcador “lc” representa objetos LangChain en el formato de serialización interno del marco.
“Entonces, una vez que un atacante puede obtener un bucle de orquestación de LangChain para serializar y luego deserializar contenido, incluida una clave 'LC', creará una instancia de un objeto arbitrario inseguro y potencialmente activará muchas rutas amigables para el atacante”, dijo Porat.
Esto podría tener varias consecuencias, incluida la extracción de secretos de variables de entorno cuando la deserialización se realiza con secrets_from_env=True (previamente configurado de forma predeterminada), la creación de instancias de clases dentro de espacios de nombres confiables aprobados previamente, como langchain_core, langchain y langchain_community, y posiblemente incluso la ejecución de código arbitrario a través de plantillas Jinja2.
Además, el error de escape permite inyectar estructuras de objetos LangChain a través de campos controlados por el usuario, como Metadata, Additional_Kwargs o Response_metadata mediante inyección rápida.
El parche lanzado por LangChain introduce nuevos valores predeterminados restrictivos en Load() y Loads() a través de un parámetro de lista permitida “allowed_objects” que permite a los usuarios especificar qué clases se pueden serializar/deserializar. Además, las plantillas de Jinja2 están bloqueadas de forma predeterminada y la opción secrets_from_env ahora está configurada en False para deshabilitar la carga automática de secretos del entorno.
Las siguientes versiones de langchain-core se ven afectadas por CVE-2025-68664:
- >= 1.0.0, < 1.2.5 (Corregido en 1.2.5)
- < 0.3.81 (fijado en 0.3.81)
Vale la pena señalar que existe un error de inyección de serialización similar en LangChain.js, que también se debe a que los objetos no están enmascarados adecuadamente con claves “lc”, lo que permite la extracción secreta y la inyección instantánea. A esta vulnerabilidad se le ha asignado el identificador CVE CVE-2025-68665 (puntuación CVSS: 8,6).
Afecta a los siguientes paquetes npm:
- @langchain/core >= 1.0.0, < 1.1.8 (Corregido en 1.1.8)
- @langchain/core < 0.3.80 (corregido en 0.3.80)
- langchain >= 1.0.0, < 1.2.3 (Corregido en 1.2.3)
- langchain <0.3.37 (corregido en 0.3.37)
Dada la gravedad de la vulnerabilidad, se recomienda a los usuarios actualizar a una versión parcheada lo antes posible para garantizar una protección óptima.
“El vector de ataque más común son los campos de respuesta LLM como adicional_kwargs o respuesta_metadata, que pueden controlarse mediante inyección rápida y luego serializarse/deserializarse en operaciones de transmisión”, dijo Porat. “Este es exactamente el tipo de interfaz entre la IA y la seguridad clásica que toma por sorpresa a las empresas. Los resultados del LLM son una entrada en la que no se confía”.
About The Author
