3 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a deserializacao.
Foi divulgada uma falha crítica no pacote langchain-core (Python) que pode permitir a extração de segredos e a manipulação de respostas de LLMs via injeção por serialização. O pacote é componente central do ecossistema LangChain. O trecho disponível não indica CVE, versões afetadas nem se há exploração ativa ou correção publicada.
Pesquisa da WatchTowr Labs revela primitives de exploração no .NET (apelidada SOAPwn) que, via WSDL malicioso, podem permitir gravação de arquivos e execução remota em aplicações como Barracuda Service Center RMM, Ivanti EPM e Umbraco 8. Fornecedores ainda não divulgaram correções públicas na cobertura.
Vulnerabilidade CVE-2025-64439 no JsonPlusSerializer do langgraph-checkpoint permite execução remota de código ao carregar checkpoints manipulados. A falha afeta versões < 3.0; LangChain lançou a versão 3.0 que implementa allow-list para construtores e desativa fallback inseguro para JSON. Aplicações que persistem dados não confiáveis em checkpoints devem atualizar e isolar processos de desserialização.