Vulnerabilidades críticas en LangChain 2026

Vulnerabilidad crítica - 01/2026

Introducción

CVE‑2025‑68664 es una vulnerabilidad de seguridad de severidad crítica que afecta a LangChain, un framework muy utilizado para construir aplicaciones de agentes y sistemas potentes con modelos de lenguaje (LLM). 

Análisis

CVE-2025-68664 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N - 9,3

CVE‑2025‑68664 es una falla de serialization injection (inyección durante la serialización) en las funciones dumps() y dumpd() de LangChain. Ocurre porque estas funciones no escapan adecuadamente ciertos campos (como claves 'lc') cuando convierten estructuras de datos (como diccionarios) a formatos intermedios para almacenamiento o transmisión. Esta debilidad permite que un atacante inyecte o manipule datos serializados de forma maliciosa. En casos extremos puede exfiltrar secretos sensibles (como variables de entorno) o derivar en comportamientos no previstos por el programa.

Versiones afectadas

Cualquier aplicación usando versiones anteriores a 1.2.5 o 0.3.81 podría ser vulnerable.

Recomendaciones

Actualizar a LangChain Core 1.2.5 o superior, o a 0.3.81 o superior según la rama que se utilice.

Workarounds

No hay workarounds para esta vulnerabilidad.

Referencias

• https://www.incibe.es/en/incibe-cert/early-warning/vulnerabilities/cve-2025-68664
• https://cyata.ai/blog/langgrinch-langchain-core-cve-2025-68664/
• https://thehackernews.com/2025/12/critical-langchain-core-vulnerability.html
• https://gbhackers.com/critical-langchain-vulnerability/