Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en AISS.deserialize_from_bytes de langchain-ai/langchain (CVE-2024-5998)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502 Deserialización de datos no confiables
Fecha de publicación:
17/09/2024
Última modificación:
30/07/2025

Descripción

Una vulnerabilidad en la función FAISS.deserialize_from_bytes de langchain-ai/langchain permite la deserialización de datos no confiables mediante pickle. Esto puede provocar la ejecución de comandos arbitrarios a través de la función os.system. El problema afecta a la última versión del producto.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:langchain:langchain:*:*:*:*:*:*:*:* 0.2.9 (excluyendo)