LangChain Core में लिगेसी `load_prompt` फंक्शन में पाथ ट्रैवर्सल (Path Traversal) की कमजोरियां हैं

LangChain एजेंट और LLM-संचालित एप्लिकेशन बनाने के लिए एक फ्रेमवर्क है। वर्जन 1.2.22 से पहले, langchain_core.prompts.loading में कई फंक्शन डाइरेक्टरी ट्रैवर्सल (directory traversal) या एब्सोल्यूट पाथ इंजेक्शन (absolute path injection) के खिलाफ वैलिडेट किए बिना डिसेरियलाइज्ड कॉन्फ़िग डिक्ट (deserialized config dicts) में एम्बेडेड पाथ से फाइलें पढ़ते हैं। जब कोई एप्लिकेशन यूजर-इन्फ्लुएंसड प्रॉम्प्ट कॉन्फ़िगरेशन (user-influenced prompt configurations) को load_prompt() या load_prompt_from_config() में पास करता है, तो एक हमलावर होस्ट फ़ाइलसिस्टम (host filesystem) पर आर्बिट्रेरी फाइलें (arbitrary files) पढ़ सकता है, जो केवल फ़ाइल-एक्सटेंशन चेक (.txt टेम्पलेट्स के लिए, .json/.yaml उदाहरणों के लिए) द्वारा सीमित हैं। इस समस्या को वर्जन 1.2.22 में ठीक कर दिया गया है।