发布日期：2026-02-04
更新日期：2026-04-13

受影响系统：

Langroid Langroid < 0.59.32

描述：

---

CVE(CAN) ID: CVE-2026-25481

Langroid 是一个用于构建基于大语言模型的应用程序的框架。
Langroid 0.59.32之前版本存在代码注入漏洞，该漏洞源于_literal_ok()函数在检测到无效输入时仅返回False而未抛出UnsafeCommandError，同时系统允许无限制访问危险的dunder属性，攻击者可利用该漏洞通过链式调用白名单中的DataFrame方法，逐步泄露eval内置函数，最终在TableChatAgent调用pandas_eval工具时执行任意代码。

<*链接：https://github.com/langroid/langroid/security/advisories/GHSA-x34r-63hx-w57f
*>

建议：

---

厂商补丁：

Langroid
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/langroid/langroid/commit/30abbc1a854dee22fbd2f8b2f575dfdabdb603ea

浏览次数：27
严重程度：0（网友投票）