Los investigadores de ciberseguridad han detallado tres fallas de seguridad actualmente parcheadas que afectan a LangGraph, incluida una cadena de vulnerabilidad crítica que podría permitir la ejecución remota de código.
LangGraph es un marco de código abierto creado por LangChain para crear aplicaciones de agentes de inteligencia artificial (IA) complejas, con estado y de múltiples agentes.
«La introducción de la inyección SQL en la funcionalidad de LangGraph podría permitir a un atacante explotar las debilidades en la forma en que el sistema procesa datos y ejecuta código de forma remota y obtener control completo del servidor», dijo Check Point.
La lista de vulnerabilidades identificadas es la siguiente:
CVE-2025-67644 (Puntuación CVSS: 7,3): existe una vulnerabilidad de inyección SQL en la implementación del punto de control SQLite de LangGraph que permite a los atacantes manipular consultas SQL mediante claves de filtro de metadatos. (Afecta a las versiones de langgraph-checkpoint-sqlite anteriores a 3.0.1) CVE-2026-28277 (puntuación CVSS: 6,8): LangGraph tiene una vulnerabilidad de deserialización de msgpack insegura que se puede utilizar para desencadenar la reconstrucción de objetos cuando un atacante carga un punto de control que puede modificar los datos del punto de control. (Afecta a las versiones de langgraph anteriores a la 1.0.10) CVE-2026-27022 (puntuación CVSS: 6,5): inyección de consultas RediSearch en @langchain/langgraph-checkpoint-redis que se puede utilizar para evitar los controles de acceso. (Afecta a las versiones de @langchain/langgraph-checkpoint-redis anteriores a la versión 1.0.1)
«Esta cadena de vulnerabilidad se puede explotar en implementaciones autohospedadas que utilizan herramientas de puntos de control SQLite o Redis con entradas de filtro controladas por el usuario», dijo Check Point. «La plataforma administrada de LangChain (LangSmith Deployment) no se ve afectada».
El investigador de seguridad Yarden Porat, a quien se le atribuye haber descubierto y reportado las tres fallas, dijo que CVE-2025-67644 y CVE-2026-28277 se pueden encadenar para lograr la ejecución remota de código.
Específicamente, la cadena de ataque se basa en una aplicación que expone un punto final get_state_history(), lo que permite a un atacante recuperar puntos de control del historial basados en metadatos. Se requieren los siguientes pasos:
Un atacante prepara una carga útil de msgpack que contiene instrucciones para ejecutar código arbitrario. Un atacante envía un parámetro de filtro malicioso que explota una vulnerabilidad de inyección SQL para devolver filas de puntos de control falsas en los resultados de una consulta de base de datos. Esta columna de punto de control contiene datos serializados controlados por el atacante. Cuando la aplicación procesa los resultados de la consulta, deserializa el blob de punto de control malicioso. Un atacante puede aprovechar una vulnerabilidad de deserialización insegura para ejecutar su carga útil y ejecutar código remoto en el servidor.
LangGraph describe CVE-2026-28277 como un problema posterior a la explotación. La explotación exitosa de este problema requiere la capacidad de escribir datos de puntos de control controlados por el atacante y traducirlos en ejecución de código en el tiempo de ejecución de la aplicación, y no representa un riesgo para las implementaciones existentes alojadas en LangSmith.
En tal escenario, la escalada desde el acceso de escritura al almacén de puntos de control hasta la ejecución de código «podría exponer secretos del tiempo de ejecución o proporcionar acceso a otros sistemas a los que el tiempo de ejecución pueda llegar», dijeron los administradores de LangGraph. «El modelo de amenaza descrito requiere que un atacante altere la capa de persistencia del punto de control utilizada en la implementación. Las configuraciones alojadas típicas están diseñadas para evitar dicho acceso».
Check Point dijo que los hallazgos demuestran cómo las clases de vulnerabilidad clásicas como la inyección SQL se vuelven más poderosas cuando aparecen dentro del marco de un agente de IA que conlleva un acceso y una confianza elevados, abriendo así la puerta a la divulgación de datos confidenciales.
Recomendamos que los usuarios apliquen las últimas correcciones, implementen autenticación para servidores LangGraph autohospedados, eviten secretos estáticos de larga duración, apliquen la segmentación de la red, traten a los agentes de IA como identidades privilegiadas y apliquen el principio de privilegio mínimo (PoLP) para limitar la huella de acceso del agente.
Source link
