मुफ्त स्कैन करें
HIGHCVE-2025-2828CVSS 8.4

LangChain Community में SSRF भेद्यता RequestsToolkit घटक में मौजूद है

प्लेटफ़ॉर्म

python

घटक

langchain-community

में ठीक किया गया

0.0.28

0.0.28

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2025-2828 एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो langchain-community पैकेज में पाई गई है। यह भेद्यता हमलावरों को आंतरिक संसाधनों तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है, जैसे कि पोर्ट स्कैनिंग और क्लाउड मेटाडेटा तक पहुंच। यह भेद्यता langchain-community के संस्करण 0.0.9 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को langchain-community के संस्करण 0.0.28 में ठीक कर दिया गया है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

यह SSRF भेद्यता हमलावरों को langchain-community एप्लिकेशन द्वारा किए गए अनुरोधों को नियंत्रित करने की अनुमति देती है। इसका मतलब है कि वे आंतरिक सेवाओं को स्कैन कर सकते हैं, स्थानीय संसाधनों तक पहुंच सकते हैं, और क्लाउड वातावरण से संवेदनशील जानकारी प्राप्त कर सकते हैं। उदाहरण के लिए, एक हमलावर Azure या AWS जैसे क्लाउड वातावरण से इंस्टेंस मेटाडेटा प्राप्त कर सकता है, जिससे उन्हें एप्लिकेशन के बारे में महत्वपूर्ण जानकारी मिल सकती है। इसके अतिरिक्त, हमलावर आंतरिक नेटवर्क पर पोर्ट स्कैनिंग करने के लिए इस भेद्यता का उपयोग कर सकते हैं, जिससे कमजोरियों की पहचान हो सकती है जिनका वे शोषण कर सकते हैं। इस भेद्यता का उपयोग डेटा चोरी, सिस्टम समझौता, या सेवा से इनकार (DoS) हमलों के लिए किया जा सकता है।

शोषण संदर्भ

CVE-2025-2828 को अभी तक सक्रिय रूप से शोषण करने के बारे में कोई जानकारी नहीं है, लेकिन SSRF भेद्यताएँ अक्सर शोषण की जाती हैं। यह भेद्यता KEV (Know Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन इनकी पुष्टि नहीं की जा सकती है। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस CVE के लिए अलर्ट जारी किए हैं, जो इसकी गंभीरता को दर्शाता है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations deploying langchain-community in production environments, particularly those utilizing cloud-based infrastructure, are at significant risk. Applications that rely on langchain-community for interacting with external services or internal APIs are also vulnerable. Shared hosting environments where multiple users share the same server instance are particularly susceptible.

पहचान के चरणअनुवाद हो रहा है…

• python / server:

import langchain
import requests

# Check langchain version
print(langchain.__version__)

# Attempt a request to a local address (e.g., 127.0.0.1:8080) to test SSRF
# This is a simplified example and may require adjustments based on the application's context
try:
    response = requests.get('http://127.0.0.1:8080')
    print(f'Request successful: {response.status_code}')
except requests.exceptions.RequestException as e:
    print(f'Request failed: {e}')

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.05% (16% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयno
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H8.4HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकlangchain-community
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
unspecified – 0.0.280.0.28
0.0.28

कमजोरी वर्गीकरण (CWE)

CWE-918

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के -467 दिन बाद पैच

शमन और वर्कअराउंड

CVE-2025-2828 को कम करने के लिए, langchain-community पैकेज को संस्करण 0.0.28 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें जो अनुरोधों को बाहरी डोमेन तक पहुंचने से रोकता है। इसके अतिरिक्त, एप्लिकेशन के भीतर अनुरोधों को मान्य और सैनिटाइज़ करने के लिए इनपुट सत्यापन लागू करें। यह सुनिश्चित करें कि एप्लिकेशन केवल विश्वसनीय स्रोतों से अनुरोध करता है और बाहरी संसाधनों तक पहुंच को सीमित करता है। अपग्रेड के बाद, यह सत्यापित करें कि SSRF भेद्यता ठीक हो गई है, आंतरिक सेवाओं को स्कैन करने का प्रयास करके और यह सुनिश्चित करके कि अनुरोध अपेक्षित गंतव्य पर पुनर्निर्देशित हैं।

कैसे ठीक करें

langchain-community पैकेज को संस्करण 0.0.28 या उच्चतर में अपडेट करें। यह RequestsToolkit घटक में SSRF भेद्यता को ठीक कर देगा। आप pip का उपयोग करके पैकेज को अपडेट कर सकते हैं: `pip install langchain-community==0.0.28`.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-2828 — SSRF langchain-community में क्या है?

CVE-2025-2828 langchain-community पैकेज में एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है, जो हमलावरों को आंतरिक संसाधनों तक पहुंचने की अनुमति देती है।

क्या मैं CVE-2025-2828 से langchain-community में प्रभावित हूँ?

यदि आप langchain-community के संस्करण 0.0.9 या उससे कम का उपयोग कर रहे हैं, तो आप प्रभावित हैं।

मैं CVE-2025-2828 को langchain-community में कैसे ठीक करूँ?

langchain-community पैकेज को संस्करण 0.0.28 या बाद के संस्करण में अपडेट करें।

क्या CVE-2025-2828 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2025-2828 के सक्रिय शोषण के बारे में कोई जानकारी नहीं है, लेकिन SSRF भेद्यताएँ अक्सर शोषण की जाती हैं।

मैं langchain-community के लिए CVE-2025-2828 के लिए आधिकारिक सलाहकार कहाँ पा सकता हूँ?

कृपया langchain-ai की वेबसाइट या संबंधित सुरक्षा सलाहकार देखें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें