Vulnerabilidad en LangChain (CVE-2026-27795)

LangChain es un framework para construir aplicaciones impulsadas por LLM. Antes de la versión 1.1.8, existe una omisión de falsificación de petición del lado del servidor (SSRF) basada en redirección en `RecursiveUrlLoader` en `@langchain/community`. El cargador valida la URL inicial, pero permite que la recuperación subyacente siga las redirecciones automáticamente, lo que permite una transición de una URL pública segura a un endpoint interno o de metadatos sin revalidación. Esto es una omisión de las protecciones de SSRF introducidas en 1.1.14 (CVE-2026-26019). Los usuarios deben actualizar a `@langchain/community` 1.1.18, que valida cada salto de redirección deshabilitando las redirecciones automáticas y revalidando los objetivos de `Location` antes de seguirlos. En esta versión, las redirecciones automáticas están deshabilitadas (`redirect: 'manual'`), cada `Location` 3xx se resuelve y valida con `validateSafeUrl()` antes de la siguiente petición, y un límite máximo de redirecciones evita bucles infinitos.