Vulnérabilités
Aggrégat CVE / GHSA / KEV / OSV — filtrage par étiquette et catégorie.
| ID | Titre | |
|---|---|---|
| CVE-2026-44843 |
|
Désérialisation non sécurisée dans langchain-core (CVE-2026-44843)
vulnérabilité dans langchain-core (CVE-2026-44843). Des informations confidentielles peuvent être exposées. Exploitable via ``RunnableWithMessageHistory``. Atténuation : mise à jour vers `0.3.85` ou plus.
|
| CVE-2026-42271 KEV |
|
[KEV] Injection de commande dans Berriai litellm (CVE-2026-42271)
injection de commande dans Berriai litellm (CVE-2026-42271). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via `POST /mcp-rest/test/connection`. Inscrit au CISA KEV — exploitation active confirmée. Atténuation : mise à jour vers `1.83.7` ou plus.
|
| CVE-2026-42203 |
|
Vulnérabilité dans litellm (CVE-2026-42203)
vulnérabilité dans litellm (CVE-2026-42203). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via `POST /prompts/test`. Atténuation : mise à jour vers `1.83.7` ou plus.
|
| CVE-2026-42208 KEV |
|
[KEV] Injection SQL dans Berriai litellm (CVE-2026-42208)
injection SQL dans Berriai litellm (CVE-2026-42208). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via `POST /chat/completions`. Inscrit au CISA KEV — exploitation active confirmée. Atténuation : mise à jour vers `>=1.83.7` ou plus.
|
| CVE-2026-44513 |
|
Injection de code dans diffusers (CVE-2026-44513)
injection de code dans diffusers (CVE-2026-44513). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via ``trust_remote_code``. Atténuation : mise à jour vers `0.38.0` ou plus.
|
| CVE-2026-44827 |
|
Injection de code dans diffusers (CVE-2026-44827)
injection de code dans diffusers (CVE-2026-44827). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via ``DiffusionPipeline.from_pretrained``. Atténuation : mise à jour vers `0.38.0` ou plus.
|
| CVE-2026-44223 |
|
Vulnérabilité dans vllm (CVE-2026-44223)
vulnérabilité dans vllm (CVE-2026-44223). Risque d'opérations non autorisées ou de divulgation. Exploitable via ``extract_hidden_states``. Atténuation : mise à jour vers `0.20.0` ou plus.
|
| CVE-2026-7482 |
|
Lecture hors limites dans github.com/ollama/ollama (CVE-2026-7482)
vulnérabilité dans github.com/ollama/ollama (CVE-2026-7482). Des informations confidentielles peuvent être exposées. Atténuation : mise à jour vers `0.17.1` ou plus.
|
| CVE-2026-42249 |
|
Traversée de chemin dans path-traversal (CVE-2026-42249)
traversée de chemin dans path-traversal (CVE-2026-42249). L'exploitation peut entraîner la prise de contrôle totale du système.
|
| CVE-2026-42248 |
|
Vulnérabilité dans ollama (CVE-2026-42248)
vulnérabilité dans ollama (CVE-2026-42248). L'exploitation peut entraîner la prise de contrôle totale du système.
|
| CVE-2026-41481 |
|
SSRF (Falsification de requête côté serveur) dans langchain-text-splitters (CVE-2026-41481)
SSRF dans langchain-text-splitters (CVE-2026-41481). Des informations confidentielles peuvent être exposées. Exploitable via ``Document``. Atténuation : mise à jour vers `1.1.2` ou plus.
|
| CVE-2026-40190 |
|
Vulnérabilité dans langchain (CVE-2026-40190)
vulnérabilité dans langchain (CVE-2026-40190). Risque d'opérations non autorisées ou de divulgation. Atténuation : mise à jour vers `0.5.18` ou plus.
|
| CVE-2026-35030 |
|
Contournement d'authentification dans litellm (CVE-2026-35030)
contournement d'authentification dans litellm (CVE-2026-35030). Des informations confidentielles peuvent être exposées. Atténuation : mise à jour vers `1.83.0` ou plus.
|
| CVE-2026-35029 |
|
Autorisation incorrecte dans litellm (CVE-2026-35029)
vulnérabilité dans litellm (CVE-2026-35029). L'exploitation peut entraîner la prise de contrôle totale du système. Atténuation : mise à jour vers `1.83.0` ou plus.
|
| CVE-2026-34756 |
|
Vulnérabilité dans dos (CVE-2026-34756)
vulnérabilité dans dos (CVE-2026-34756). Risque d'opérations non autorisées ou de divulgation. Atténuation : mise à jour vers `0.19.0` ou plus.
|
| CVE-2026-34755 |
|
Vulnérabilité dans vllm (CVE-2026-34755)
vulnérabilité dans vllm (CVE-2026-34755). Risque d'opérations non autorisées ou de divulgation. Exploitable via `POST /v1/chat/completions`. Atténuation : mise à jour vers `0.19.0` ou plus.
|
| CVE-2026-0545 |
|
Vulnérabilité dans dos (CVE-2026-0545)
vulnérabilité dans dos (CVE-2026-0545). L'exploitation peut entraîner la prise de contrôle totale du système.
|
| CVE-2026-34760 |
|
Vulnérabilité dans vllm (CVE-2026-34760)
vulnérabilité dans vllm (CVE-2026-34760). Les données peuvent être altérées par des attaquants.
|
| CVE-2026-34070 |
|
Traversée de chemin dans path-traversal (CVE-2026-34070)
traversée de chemin dans path-traversal (CVE-2026-34070). Des informations confidentielles peuvent être exposées.
|
| CVE-2025-15379 |
|
Injection de commande dans lfprojects (CVE-2025-15379)
injection de commande dans lfprojects (CVE-2025-15379). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via ``python_env.yaml``.
|
| CVE-2025-15036 |
|
Vulnérabilité dans path-traversal (CVE-2025-15036)
vulnérabilité dans path-traversal (CVE-2025-15036). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via ``extract_archive_to_dir``.
|
| CVE-2025-15381 |
|
Divulgation d'information dans lfprojects (CVE-2025-15381)
vulnérabilité dans lfprojects (CVE-2025-15381). Les données peuvent être altérées par des attaquants. Exploitable via ``NO_PERMISSIONS``.
|
| CVE-2026-27893 |
|
Vulnérabilité dans vllm (CVE-2026-27893)
vulnérabilité dans vllm (CVE-2026-27893). L'exploitation peut entraîner la prise de contrôle totale du système.
|
| CVE-2025-15031 |
|
Traversée de chemin dans lfprojects (CVE-2025-15031)
traversée de chemin dans lfprojects (CVE-2025-15031). Des informations confidentielles peuvent être exposées. Exploitable via ``tarfile.extractall``.
|
| CVE-2025-14287 |
|
Injection de code dans lfprojects (CVE-2025-14287)
injection de code dans lfprojects (CVE-2025-14287). L'exploitation peut entraîner la prise de contrôle totale du système.
|
| CVE-2026-25960 |
|
SSRF (Falsification de requête côté serveur) dans ssrf (CVE-2026-25960)
SSRF dans ssrf (CVE-2026-25960). Des informations confidentielles peuvent être exposées.
|
| CVE-2026-22778 |
|
Vulnérabilité dans vllm (CVE-2026-22778)
vulnérabilité dans vllm (CVE-2026-22778). L'exploitation peut entraîner la prise de contrôle totale du système. Atténuation : mise à jour vers `0.14.1` ou plus.
|
| CVE-2026-24779 |
|
SSRF (Falsification de requête côté serveur) dans ssrf (CVE-2026-24779)
SSRF dans ssrf (CVE-2026-24779). Des informations confidentielles peuvent être exposées. Exploitable via ``MediaConnector``.
|
| CVE-2026-24747 |
|
Injection de code dans linuxfoundation (CVE-2026-24747)
injection de code dans linuxfoundation (CVE-2026-24747). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via ``weights_only``.
|
| CVE-2026-22807 |
|
Injection de code dans vllm (CVE-2026-22807)
injection de code dans vllm (CVE-2026-22807). L'exploitation peut entraîner la prise de contrôle totale du système. Exploitable via ``auto_map``.
|
| CVE-2025-15514 |
|
Vulnérabilité dans dos (CVE-2025-15514)
vulnérabilité dans dos (CVE-2025-15514). Risque d'opérations non autorisées ou de divulgation.
|
| CVE-2025-63396 |
|
Vulnérabilité dans pytorch (CVE-2025-63396)
vulnérabilité dans pytorch (CVE-2025-63396). Risque d'opérations non autorisées ou de divulgation. Atténuation : mise à jour vers `2.5.1, 2.8.0` ou plus.
|
| CVE-2023-36095 |
|
Injection de code dans langchain (CVE-2023-36095)
injection de code dans langchain (CVE-2023-36095). L'exploitation peut entraîner la prise de contrôle totale du système. Atténuation : mise à jour vers `0.0.236` ou plus.
|