注目github_advisory2分
CVE-2026-55405: LangChain4j の MariaDB・pgvector にSQL インジェクション脆弱性
30秒で把握
- 1CVE-2026-55405: LangChain4j の MariaDB・pgvector でSQL インジェクション確認
- 2メタデータキーの未エスケープ連結が原因・JSON モード・カラムモード双方に影響
- 3EmbeddingSearchRequest.filter() と removeAll() が攻撃経路・早急なバージョン更新が必要
要約
LangChain4j の langchain4j-mariadb および langchain4j-pgvector で、メタデータフィルターのキー(MariaDB は値も)がエスケープなしにSQL文字列へ直接連結されるSQL インジェクション脆弱性が確認された(CVE-2026-55405)。pgvector の JSON モード(デフォルト)では単一引用符を含むキーで `pg_sleep(1)` のような任意SQLが実行でき、盲目的なデータ抽出にも悪用可能。MariaDB では JSON パス・カラムモード双方が影響を受け、バックスラッシュ終端の文字列値からも脱出できる。`EmbeddingSearchRequest.filter()` および `removeAll(Filter)` 操作が攻撃対象となる。
あなたへの影響
LangChain4j で MariaDB または pgvector を使った埋め込みストアを運用しているチームは、外部入力がメタデータキーや値に混入し得る経路をすぐに洗い出し、修正済みバージョンへの更新を次スプリント以前に実施すべき。
推奨:pgvector の `COMBINED_JSON` / `COMBINED_JSONB` モードとカラムモード(`COLUMN_PER_KEY`)の両方が対象となる点に注意。