漏洞信息
尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
LangChain affected by SSRF via image_url token counting in ChatOpenAI.get_num_tokens_from_messages
Vulnerability Description
LangChain is a framework for building agents and LLM-powered applications. Prior to 1.2.11, the ChatOpenAI.get_num_tokens_from_messages() method fetches arbitrary image_url values without validation when computing token counts for vision-enabled models. This allows attackers to trigger Server-Side Request Forgery (SSRF) attacks by providing malicious image URLs in user input. This vulnerability is fixed in 1.2.11.
CVSS Information
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
Vulnerability Type
服务端请求伪造(SSRF)
Vulnerability Title
LangChain 代码问题漏洞
Vulnerability Description
LangChain是LangChain开源的一个用于开发由大型语言模型 (LLM) 提供支持的应用程序的框架。 LangChain 1.2.11之前版本存在代码问题漏洞,该漏洞源于ChatOpenAI.get_num_tokens_from_messages()方法在计算令牌数时未验证image_url值,可能导致服务端请求伪造攻击。
CVSS Information
N/A
Vulnerability Type
N/A