Plataforma
python
Componente
langroid
Corrigido em
0.59.33
0.59.32
Uma vulnerabilidade de Execução Remota de Código (RCE) foi descoberta no Langroid, afetando versões até 0.9.5. Esta falha explora um bypass na correção anterior para CVE-2025-46724, permitindo que atacantes executem código arbitrário através da ferramenta pandas_eval. A versão corrigida é 0.59.32, e a aplicação imediata de patches é crucial para mitigar o risco.
A vulnerabilidade permite que um atacante execute código arbitrário no sistema onde o Langroid está sendo executado. Explorando a falha no pandaseval, um invasor pode injetar comandos maliciosos que serão interpretados e executados pelo sistema. Isso pode levar ao comprometimento completo do sistema, incluindo roubo de dados sensíveis, instalação de malware, ou uso do sistema como ponto de apoio para ataques adicionais. A falta de validação adequada nas entradas para a ferramenta pandaseval, combinada com o acesso irrestrito a atributos 'dunder' perigosos, torna a exploração relativamente simples e de alto impacto.
Esta vulnerabilidade foi publicada em 02 de fevereiro de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um bypass para uma correção anterior sugere que a vulnerabilidade pode ser explorada rapidamente se um PoC for disponibilizado publicamente. A pontuação CVSS de 9.5 indica um alto risco de exploração.
Organizations deploying Langroid agents, particularly those using the TableChatAgent feature, are at risk. Environments where Langroid is integrated with sensitive data or critical infrastructure are especially vulnerable. Users relying on older, unpatched versions of Langroid are also at significant risk.
• python / server:
import os
import subprocess
def check_langroid_version():
try:
result = subprocess.check_output(['pip', 'show', 'langroid'], stderr=subprocess.STDOUT, text=True)
for line in result.splitlines():
if 'Version:' in line:
version = line.split('Version:')[1].strip()
if version <= '0.9.5':
return True
else:
return False
except FileNotFoundError:
return False
if check_langroid_version():
print("Langroid version is vulnerable.")
else:
print("Langroid version is not vulnerable.")• linux / server:
ps aux | grep -i langroid
journalctl -u langroid | grep -i "pandas_eval"disclosure
patch
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
A mitigação primária é atualizar o Langroid para a versão 0.59.32 ou superior. Se a atualização imediata não for possível, implemente regras de Web Application Firewall (WAF) para bloquear entradas maliciosas que tentam explorar a vulnerabilidade. Além disso, revise e reforce a validação de todas as entradas para a ferramenta pandaseval, garantindo que apenas entradas seguras e esperadas sejam permitidas. Monitore logs de acesso e erros em busca de atividades suspeitas relacionadas à execução de código. Após a atualização, confirme a correção verificando se a ferramenta pandaseval não permite a execução de comandos arbitrários.
Atualize a biblioteca Langroid para a versão 0.59.32 ou superior. Isso corrigirá a vulnerabilidade de omissão de WAF que permite a execução remota de código. A atualização pode ser realizada utilizando o gerenciador de pacotes de Python, pip, executando o comando: `pip install --upgrade langroid`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-25481 is a CRITICAL Remote Code Execution vulnerability in Langroid versions up to 0.9.5, allowing attackers to execute arbitrary code due to a bypass of a previous fix.
You are affected if you are using Langroid version 0.9.5 or earlier. Immediately upgrade to version 0.59.32 or later to mitigate the risk.
Upgrade Langroid to version 0.59.32 or later. If immediate upgrade is not possible, implement stricter input validation on the TableChatAgent.
While active exploitation is not confirmed, the CRITICAL severity and bypass nature of the vulnerability suggest a high likelihood of exploitation. Monitor for any suspicious activity.
Refer to the Langroid project's official security advisories and release notes for the most up-to-date information: [https://github.com/langroid-ai/langroid](https://github.com/langroid-ai/langroid)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.