Los investigadores de ciberseguridad han revelado detalles de tres fallas de seguridad ahora parcheadas que afectan a LangGraph, incluida una cadena de vulnerabilidad crítica que podría resultar en la ejecución remota de código.
LangGraph es un marco de código abierto creado por LangChain para crear aplicaciones de inteligencia artificial (IA) complejas, con estado y de múltiples agentes.
«Una inyección SQL en la función de LangGraph podría permitir a los atacantes obtener control total mediante la ejecución remota de código de un servidor explotando las debilidades en la forma en que el sistema procesa y maneja los datos», dijo Check Point.
La lista de vulnerabilidades identificadas es la siguiente:
- CVE-2025-67644 (Puntuación CVSS: 7,3): existe una vulnerabilidad de inyección SQL en la implementación del punto de control SQLite de LangGraph que permite a los atacantes manipular consultas SQL a través de claves de filtro de metadatos. (Afecta a las versiones de langgraph-checkpoint-sqlite anteriores a la 3.0.1)
- CVE-2026-28277 (Puntuación CVSS: 6,8): una vulnerabilidad de deserialización de msgpack insegura en LangGraph que podría usarse para desencadenar la reconstrucción de objetos cuando un atacante que puede modificar los datos del punto de control carga un punto de control. (Afecta a versiones de Langgraph anteriores a 1.0.10)
- CVE-2026-27022 (Puntuación CVSS: 6,5): una inyección de consulta RediSearch en @langchain/langgraph-checkpoint-redis que se puede utilizar para evitar los controles de acceso. (Afecta a las versiones de @langchain/langgraph-checkpoint-redis anteriores a la 1.0.1)
«La cadena de vulnerabilidad es explotable en implementaciones autohospedadas que utilizan el puntero de control SQLite o Redis con entrada de filtro controlada por el usuario», dijo Check Point. «La plataforma administrada de LangChain (LangSmith Deployment) no se ve afectada».
El investigador de seguridad Yarden Porat, a quien se le atribuye el descubrimiento y el informe de las tres fallas, dijo que CVE-2025-67644 y CVE-2026-28277 podrían encadenarse para lograr la ejecución remota de código.
Específicamente, la cadena de ataque depende de que la aplicación exponga el punto final get_state_history(), lo que luego permite a un atacante recuperar puntos de control históricos basados en sus metadatos. Requiere los siguientes pasos:
- El atacante prepara una carga útil de msgpack que contiene instrucciones para ejecutar código arbitrario.
- El atacante envía un parámetro de filtro malicioso que explota la vulnerabilidad de inyección SQL para devolver una fila de punto de control falsa a los resultados de la consulta de la base de datos, donde la columna del punto de control contiene datos serializados controlados por el atacante.
- Cuando la aplicación procesa los resultados de la consulta, deserializa el BLOB del punto de control malicioso.
- El atacante aprovecha la vulnerabilidad de deserialización insegura para ejecutar la carga útil del atacante, lo que le permite ejecutar código remoto en el servidor.
LangGraph ha descrito CVE-2026-28277 como un problema posterior a la explotación, donde la explotación exitosa requiere la capacidad de escribir datos de puntos de control controlados por el atacante y convertirlos en ejecución de código en el tiempo de ejecución de la aplicación, y no representa ningún riesgo para las implementaciones existentes alojadas en LangSmith.
En tal escenario, esta escalada desde el acceso de escritura al almacén de puntos de control» hasta la ejecución de código puede «exponer secretos del tiempo de ejecución o proporcionar acceso a otros sistemas al que el tiempo de ejecución puede llegar», dijeron los mantenedores de LangGraph. «El modelo de amenaza descrito requiere que un atacante altere la capa de persistencia del punto de control utilizada por la implementación; Las configuraciones alojadas típicas están diseñadas para evitar dicho acceso».
Check Point dijo que los hallazgos ilustran cómo las clases de vulnerabilidad clásicas, como la inyección SQL, pueden volverse más potentes cuando se manifiestan dentro de marcos de agentes de IA que conllevan un acceso y una confianza elevados, abriendo así la puerta a la exposición de datos confidenciales.
Se recomienda a los usuarios aplicar las últimas correcciones, implementar autenticación para servidores LangGraph autohospedados, evitar secretos estáticos de larga duración, imponer la segmentación de la red, tratar a los agentes de IA como identidades privilegiadas y aplicar el principio de privilegio mínimo (PoLP) para limitar la huella de acceso del agente.