GitHub
大型語言模型應用開發框架專案LangChain,近日發布安全公告修補高風險漏洞。這個漏洞編號為CVE-2026-34070, CVSS嚴重性評為7.5分 ,屬於路徑遍歷類型弱點,可能導致攻擊者透過特製提示模板(prompt template), 在未通過身分驗證的狀況下,即可從遠端任意讀取各種檔案。這個漏洞會影響Langchain-core元件1.2.21以前版本,解決辦法是升級到1.2.22以後版本。
資安公司Cyera研究人員進一步表示, CVE-2026-34070連同去年底揭露的SQL注入漏洞CVE‑2025‑67644 ,以及CVE‑2025‑68664反序列化漏洞,共同構成從LangChain開發環境竊取敏感資料的3條途徑,可能導致攻擊者讀取敏感檔案、竊取金鑰,以及存取工作流程記錄。由於LangChain 是目前開發大型語言模型應用的主流框架之一 ,用戶數量龐大,為許多企業專案採用,因此這些漏洞的影響也相當深遠,使用者應盡快更新LangChain與其延伸工具LangGraph,以降低風險。
