CVE-2026-26013 – LangChain affected by SSRF via image_url token counting in ChatOpenAI.get_num_tokens_from_messages

CVE ID : CVE-2026-26013

Published : Feb. 10, 2026, 9:51 p.m. | 31 minutes ago

Description : LangChain is a framework for building agents and LLM-powered applications. Prior to 1.2.11, the ChatOpenAI.get_num_tokens_from_messages() method fetches arbitrary image_url values without validation when computing token counts for vision-enabled models. This allows attackers to trigger Server-Side Request Forgery (SSRF) attacks by providing malicious image URLs in user input. This vulnerability is fixed in 1.2.11.

Severity: 0.0 | NA

Visit the link for more details, such as CVSS details, affected products, timeline, and more… 

آسیب‌پذیری‌های جدید و وصله‌های امنیتی به‌صورت مداوم منتشر می‌شوند و عدم بروزرسانی به‌موقع می‌تواند امنیت سرویس‌های حیاتی را به خطر بیندازد. خدمات مدیریت و پشتیبانی سرور آفاق هاستینگ شامل پایش امنیتی، بروزرسانی نرم‌افزارها، نصب Patchهای امنیتی و سخت‌سازی سرورها است.

خدمات مدیریت و امنیت سرور

نوشته های مشابه

CVE-2026-8658 – OS Command Injection in Rapid7 InsightConnect Tcpdump Plugin

CVE-2026-8662 – Path Traversal in Rapid7 InsightConnect Compression Plugin

CVE-2026-8666 – OS Command Injection in Rapid7 InsightConnect Traceroute Plugin

CVE-2026-8592 – OS Command Injection in Rapid7 InsightConnect AWK Plugin