LangChain معماری سیستمهای RAG را با ابزارهای متعدد برای تبدیل، ذخیره، جستجو و بازیابی اطلاعاتی که پاسخهای مدل زبان را اصلاح میکنند، امکانپذیر میسازد. Chat LangChain یک ربات چت است که به طور خاص بر روی پاسخگویی به سوالات در اسناد LangChain متمرکز شده است.
یک آسیبپذیری با شناسه CVE-2024-0968 و شدت متوسط (4.6) در Chat LangChain کشف شده است. طبق بررسیهای صورت گرفته این چت بات بررسی نمیکند که آیا پاسخی که به سوال کاربر میدهد، صحتسنجی شده است یا خیر. یک مهاجم با بهرهبرداری از این نقص میتواند حمله Cross-site Scripting (XSS) را در سیستم قربانی اجرا کند.
بر اساس بردار حمله این آسیبپذیری(CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:L) بهرهبرداری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، نیازمند پیشزمینه بوده و به راحتی قابل تکرار نیست و به شرایط خاصی نیاز است (AC:H)، مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی پایین دارد (PR:L)، به تعامل با کاربر نیز نیاز دارد (UI:R)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و با بهرهبرداری از این آسیبپذیری، هر سه ضلع امنیت با شدت کم تحت تأثیر قرار میگیرد.
محصولات تحتتأثیر
نسخه 0.0.0 تحتتأثیر این نقص قرار دارد.
توصیههای امنیتی
به کاربران توصیه میشود از آخرین نسخه موجود استفاده کنند.
منبع خبر:
- 25