CVE-2026-27795— LangChain.js 代码问题漏洞

CVSS 4.1 · Medium EPSS 0.21% · P11 更新于 2026-02-26

可能的 ATT&CK 技术 2AI

T1590 · Gather Victim Network Information T1113 · Screen Capture

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2026-27795 基础信息

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

LangChain Community: redirect chaining can lead to SSRF bypass via RecursiveUrlLoader

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

LangChain is a framework for building LLM-powered applications. Prior to version 1.1.8, a redirect-based Server-Side Request Forgery (SSRF) bypass exists in `RecursiveUrlLoader` in `@langchain/community`. The loader validates the initial URL but allows the underlying fetch to follow redirects automatically, which permits a transition from a safe public URL to an internal or metadata endpoint without revalidation. This is a bypass of the SSRF protections introduced in 1.1.14 (CVE-2026-26019). Users should upgrade to `@langchain/community` 1.1.18, which validates every redirect hop by disabling automatic redirects and re-validating `Location` targets before following them. In this version, automatic redirects are disabled (`redirect: "manual"`), each 3xx `Location` is resolved and validated with `validateSafeUrl()` before the next request, and a maximum redirect limit prevents infinite loops.

来源: 美国国家漏洞数据库 NVD

CVSS Information

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:N/A:N

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

服务端请求伪造(SSRF)

来源: 美国国家漏洞数据库 NVD

Vulnerability Title

LangChain.js 代码问题漏洞

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Description

LangChain.js是LangChain开源的一个构建上下文感知推理应用程序。 LangChain.js 1.1.8之前版本存在代码问题漏洞，该漏洞源于RecursiveUrlLoader允许底层获取自动跟随重定向，可能导致服务端请求伪造攻击绕过。

来源: 中国国家信息安全漏洞库 CNNVD

CVSS Information

N/A

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Type

N/A

来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商	产品	影响版本	CPE	订阅
langchain-ai	langchainjs	< 1.1.18	-

二、漏洞 CVE-2026-27795 的公开POC

#	POC 描述	源链接	神龙链接

AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-27795 的情报信息

请登录查看更多情报信息。

CVE-2026-27795 补丁与修复 (1)

🔗 feat(core,community): ssrf hardening by hntrl · Pull Request #9990 · langchain-ai/langchainjs · GitHub 查看完整文章 x_refsource_MISC

CVE-2026-27795 厂商安全公告 (2)

https://nvd.nist.gov/vuln/detail/CVE-2026-27795

IV. Related Vulnerabilities

Same product: langchainjs

Same vendor: langchain-ai

Same weakness: CWE-918

V. Comments for CVE-2026-27795

暂无评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-27795— LangChain.js 代码问题漏洞

可能的 ATT&CK 技术 2AI

一、漏洞 CVE-2026-27795 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-27795 的公开POC

三、漏洞 CVE-2026-27795 的情报信息

CVE-2026-27795 补丁与修复 (1)

CVE-2026-27795 厂商安全公告 (2)

IV. Related Vulnerabilities

V. Comments for CVE-2026-27795

发表评论

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-27795— LangChain.js 代码问题漏洞

可能的 ATT&CK 技术 2AI

一、 漏洞 CVE-2026-27795 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-27795 的公开POC

三、漏洞 CVE-2026-27795 的情报信息

CVE-2026-27795 补丁与修复 (1)

CVE-2026-27795 厂商安全公告 (2)

IV. Related Vulnerabilities

V. Comments for CVE-2026-27795

发表评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

一、漏洞 CVE-2026-27795 基础信息