发布日期：2026-02-11
更新日期：2026-04-02

受影响系统：

LangChain LangChain < 1.1.14

描述：

---

CVE(CAN) ID: CVE-2026-26019

LangChain是LangChain开源的一个用于开发由大型语言模型提供支持的应用程序的框架。
LangChain 1.1.14之前版本存在服务器端请求伪造漏洞，该漏洞源于@langchain/community中的RecursiveUrlLoader类对URL验证不足,攻击者利用该漏洞可以控制被爬取页面的内容，加入与目标URL字符串前缀相同的域名链接，从而使爬虫访问攻击者控制的或内部基础设施的链接，此外该爬虫对私有或保留IP地址无任何验证，被爬取的页面可能包含指向云元数据服务、localhost或RFC 1918地址的链接，爬虫会在不受限制的情况下获取这些链接。

<*链接：https://github.com/langchain-ai/langchainjs/security/advisories/GHSA-gf3v-fwqg-4vh7
*>

建议：

---

厂商补丁：

LangChain
---------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/langchain-ai/langchainjs/security/advisories/GHSA-gf3v-fwqg-4vh7

浏览次数：167
严重程度：0（网友投票）