LangChain代码注入漏洞(CVE-2023-36281)分析报告<\/h1>

漏洞概述<\/h2>
LangChain是一个LLM(大型语言模型)编程框架，通过可组合性使用LLM构建应用程序。在0.0.171至0.0.312版本中，存在一个严重的代码注入漏洞，远程攻击者可以通过`load_prompt<\/code>函数的JSON文件来执行任意代码。<\/p>`

受影响版本<\/h2>

受影响版本范围：0.0.171 ≤ LangChain < 0.0.312<\/li>
修复版本：0.0.312及以上<\/li>
<\/ul>
漏洞原理分析<\/h2>
根本原因<\/h3>
该漏洞的根本原因是服务端在接收用户输入或用户可控参数后，未作处理或未进行严格过滤，将用户的输入直接拼接到模板中进行渲染，造成模板注入攻击。<\/p>
技术细节<\/h3>


漏洞函数<\/strong>：jinja2_formatter()<\/code><\/p>

该函数使用jinja2格式化模板，调用render方法并传入关键字参数对模板进行渲染<\/li>
官方补丁显示，该函数增加了安全告警，指出jinja2模板不具备沙盒保护机制<\/li>
<\/ul>
<\/li>

格式化映射<\/strong>：<\/p>

DEFAULT_FORMATTER_MAPPING<\/code>字典定义了不同格式化方式对应的函数<\/li>
jinja2<\/code>对应的格式化函数是jinja2_formatter<\/code><\/li>
<\/ul>
<\/li>

调用链<\/strong>：<\/p>

PromptTemplate<\/code>类的format<\/code>函数使用DEFAULT_FORMATTER_MAPPING<\/code>中与template_format<\/code>对应的函数处理模板字符串<\/li>
攻击者通过load_prompt<\/code>加载恶意JSON文件触发漏洞<\/li>
<\/ul>
<\/li>

文件加载流程<\/strong>：<\/p>
load_prompt → _load_prompt_from_file → load_prompt_from_config → _load_prompt → PromptTemplate
<\/code><\/pre>
<\/li>
<\/ol>
漏洞利用方法<\/h2>
利用步骤<\/h3>

构造恶意JSON文件(attack_prompt.json<\/code>)<\/li>
通过load_prompt<\/code>加载该JSON文件<\/li>
利用jinja2模板特性执行任意Python代码<\/li>
<\/ol>
技术细节<\/h3>

利用jinja2可以直接访问Python对象及其方法的特性<\/li>
通过构造继承链来执行恶意操作<\/li>
获取subprocess.Popen<\/code>类的方法：

通过__class__<\/code>获取字典对象所属的类<\/li>
通过__bases__[0]<\/code>获取基类<\/li>
使用__subclasses__()<\/code>获取子类列表<\/li>
在子类列表中寻找可利用的类<\/li>
<\/ul>
<\/li>
<\/ul>
修复方案<\/h2>


升级建议<\/strong>：<\/p>

立即升级LangChain至0.0.312或更高版本<\/li>
<\/ul>
<\/li>

临时缓解措施<\/strong>：<\/p>

对用户输入的JSON文件进行严格验证<\/li>
禁用或限制jinja2模板中危险功能的使用<\/li>
<\/ul>
<\/li>

产品防护<\/strong>：<\/p>

网宿云WAF已支持对该漏洞利用攻击的防护<\/li>
<\/ul>
<\/li>
<\/ol>
防护建议<\/h2>

实施输入验证和过滤机制<\/li>
使用最小权限原则运行应用程序<\/li>
定期更新依赖库和框架<\/li>
部署WAF等防护设备拦截攻击尝试<\/li>
<\/ol>
总结<\/h2>
该漏洞由于LangChain框架中对用户输入缺乏充分验证，结合jinja2模板引擎的特性，导致远程代码执行风险。开发人员应及时更新受影响版本，并对用户提供的模板文件进行严格审查。<\/p>

LangChain代码注入漏洞(CVE-2023-36281)分析报告<\/h1>

漏洞概述<\/h2> LangChain是一个LLM(大型语言模型)编程框架，通过可组合性使用LLM构建应用程序。在0.0.171至0.0.312版本中，存在一个严重的代码注入漏洞，远程攻击者可以通过load_prompt<\/code>函数的JSON文件来执行任意代码。<\/p>

漏洞原理分析<\/h2>

根本原因<\/h3> 该漏洞的根本原因是服务端在接收用户输入或用户可控参数后，未作处理或未进行严格过滤，将用户的输入直接拼接到模板中进行渲染，造成模板注入攻击。<\/p>

漏洞利用方法<\/h2>

总结<\/h2> 该漏洞由于LangChain框架中对用户输入缺乏充分验证，结合jinja2模板引擎的特性，导致远程代码执行风险。开发人员应及时更新受影响版本，并对用户提供的模板文件进行严格审查。<\/p>

漏洞概述<\/h2>
LangChain是一个LLM(大型语言模型)编程框架，通过可组合性使用LLM构建应用程序。在0.0.171至0.0.312版本中，存在一个严重的代码注入漏洞，远程攻击者可以通过`load_prompt<\/code>函数的JSON文件来执行任意代码。<\/p>`

根本原因<\/h3>
该漏洞的根本原因是服务端在接收用户输入或用户可控参数后，未作处理或未进行严格过滤，将用户的输入直接拼接到模板中进行渲染，造成模板注入攻击。<\/p>

总结<\/h2>
该漏洞由于LangChain框架中对用户输入缺乏充分验证，结合jinja2模板引擎的特性，导致远程代码执行风险。开发人员应及时更新受影响版本，并对用户提供的模板文件进行严格审查。<\/p>