CVE-2026-26013 – LangChain affected by SSRF via image_url token counting in ChatOpenAI.get_num_tokens_from_messages

CVE ID : CVE-2026-26013

Published : Feb. 10, 2026, 9:51 p.m. | 31 minutes ago

Description : LangChain is a framework for building agents and LLM-powered applications. Prior to 1.2.11, the ChatOpenAI.get_num_tokens_from_messages() method fetches arbitrary image_url values without validation when computing token counts for vision-enabled models. This allows attackers to trigger Server-Side Request Forgery (SSRF) attacks by providing malicious image URLs in user input. This vulnerability is fixed in 1.2.11.

Severity: 0.0 | NA

Visit the link for more details, such as CVSS details, affected products, timeline, and more… 

آسیب‌پذیری‌های جدید و وصله‌های امنیتی به‌صورت مداوم منتشر می‌شوند و عدم بروزرسانی به‌موقع می‌تواند امنیت سرویس‌های حیاتی را به خطر بیندازد. خدمات مدیریت و پشتیبانی سرور آفاق هاستینگ شامل پایش امنیتی، بروزرسانی نرم‌افزارها، نصب Patchهای امنیتی و سخت‌سازی سرورها است.

خدمات مدیریت و امنیت سرور

نوشته های مشابه

CVE-2026-10086 – Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) in GitLab

CVE-2026-13311 – shell-quote parse() is quadratic in token count, enabling denial of service

CVE-2026-0934 – Incorrect Authorization in GitLab

CVE-2026-1606 – Improper Control of Generation of Code (‘Code Injection’) in GitLab