漏洞概述
Langchain/community 软件包中被发现存在服务器端请求伪造(SSRF)漏洞,影响1.1.13及以下版本。该漏洞编号为CVE-2026-26019,CVSS 3.1评分为5.3(中危),可能导致敏感云元数据和内部基础设施暴露。
技术细节
漏洞源于RecursiveUrlLoader类,该类用于执行递归网络爬取。虽然默认通过preventOutside选项限制仅爬取同一域名内容,但其原始实现使用JavaScript的String.startsWith()方法验证URL,这种非语义检查允许构造特殊子域名(如https://example.com.attacker.com)绕过限制。
| CVE编号 | CVSS评分 | 漏洞描述 |
|---|---|---|
| CVE-2026-26019 | 5.3(中危) | @langchain/community ≤1.1.13版本中RecursiveUrlLoader存在SSRF漏洞,允许通过构造URL访问内部服务和云元数据(如169.254.169.254)。1.1.14版本已修复 |
此外,爬虫程序未能阻止访问私有或保留IP地址,攻击者可借此向云元数据端点(169.254.169.254)、本地主机或内网(10.x、172.16.x、192.168.x)发起请求。该漏洞已被收录至GitHub Advisory(GHSA-gf3v-fwqg-4vh7)和美国国家漏洞数据库(NVD)。
潜在影响
在LangChain具有特权网络访问权限的云托管环境中,攻击者可利用此漏洞:
- 从AWS、GCP或Azure获取云元数据和凭据
- 探测或交互仅限内网访问的内部API和服务
- 通过重定向链导致数据外泄
利用此漏洞仅需最低权限,但需用户交互(如爬虫获取被篡改页面)。
修复方案
LangChain已在1.1.14版本中修复该漏洞,具体措施包括:
- 使用URL API进行严格的来源验证替代原有的宽松前缀检查
- 在@langchain/core/utils/ssrf中引入新的SSRF过滤器 更新后已阻止向私有地址、环回地址、云元数据端点及非HTTP(S)协议的请求。无法升级的用户应避免在不可信内容上运行RecursiveUrlLoader,或在无法访问内网和元数据服务的环境中隔离该组件。
参考来源:
Langchain Community SSRF Bypass Vulnerability Enables Access to Internal Services
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)
