Исследователи Check Point раскрыли три исправленные уязвимости в LangGraph — открытом фреймворке LangChain для создания многоагентных ИИ-приложений. Две из них, по данным исследователей, объединяются в цепочку эксплуатации, ведущую к удалённому выполнению кода (RCE) на серверах с самостоятельным размещением. Уязвимости затрагивают компоненты хранения контрольных точек (checkpointer) для SQLite и Redis. Управляемая платформа LangSmith, как сообщается, не подвержена этим проблемам. Пользователям самостоятельно размещённых инсталляций необходимо немедленно обновить затронутые пакеты.
Обнаруженные уязвимости
Все три уязвимости обнаружены исследователем Ярденом Поратом из Check Point и задокументированы в техническом отчёте компании. Каждая из них получила отдельный идентификатор CVE и подтверждена в рекомендациях GitHub Security Advisory:
- CVE-2025-67644 (CVSS 7.3) — SQL-инъекция в реализации контрольных точек SQLite. Атакующий может манипулировать SQL-запросами через ключи фильтров метаданных. Затронуты версии langgraph-checkpoint-sqlite до 3.0.1.
- CVE-2026-28277 (CVSS 6.8) — небезопасная десериализация msgpack в LangGraph, позволяющая инициировать реконструкцию объектов при загрузке контрольной точки с модифицированными данными. Затронуты версии langgraph до 1.0.10.
- CVE-2026-27022 (CVSS 6.5) — инъекция запросов RediSearch в @langchain/langgraph-checkpoint-redis, позволяющая обойти механизмы контроля доступа. Затронуты версии до 1.0.1.
Стоит отметить, что ни одна из уязвимостей по отдельности не достигает критического уровня по шкале CVSS. Однако именно их комбинация создаёт наиболее серьёзную угрозу.
Механизм цепочки эксплуатации: от SQL-инъекции до RCE
По данным Check Point, CVE-2025-67644 и CVE-2026-28277 могут быть объединены в цепочку для достижения удалённого выполнения кода. Необходимое условие — приложение должно предоставлять доступ к эндпоинту get_state_history(), который позволяет извлекать исторические контрольные точки по метаданным.
Последовательность атаки выглядит следующим образом:
- Атакующий формирует полезную нагрузку в формате msgpack, содержащую инструкции для выполнения произвольного кода.
- Через SQL-инъекцию в параметрах фильтра атакующий подменяет результат запроса к базе данных, возвращая поддельную строку контрольной точки, где столбец checkpoint содержит контролируемые атакующим сериализованные данные.
- Приложение обрабатывает результат запроса и десериализует вредоносный BLOB контрольной точки.
- Небезопасная десериализация приводит к выполнению полезной нагрузки атакующего на сервере.
Ключевой аспект этой цепочки — классическая SQL-инъекция становится вектором доставки для эксплуатации уязвимости десериализации. Без первой уязвимости вторая требовала бы прямого доступа на запись в хранилище контрольных точек, что существенно сужает поверхность атаки.
Позиция разработчиков и границы угрозы
Мейнтейнеры LangGraph охарактеризовали CVE-2026-28277 как проблему постэксплуатации: для успешного использования необходима возможность записи контролируемых атакующим данных в хранилище контрольных точек. По их оценке, типичные конфигурации управляемого хостинга спроектированы так, чтобы предотвращать подобный доступ.
Цепочка эксплуатации применима в самостоятельно размещённых развёртываниях, использующих SQLite или Redis в качестве хранилища контрольных точек, при условии что пользовательский ввод передаётся в параметры фильтрации. Управляемая платформа LangSmith Deployment, как сообщается, не подвержена данным уязвимостям. Свидетельств активной эксплуатации в реальных условиях на момент раскрытия не выявлено.
Оценка воздействия
Наибольшему риску подвержены организации, развернувшие LangGraph на собственной инфраструктуре для построения ИИ-агентов с доступом к внутренним системам. В случае успешной эксплуатации атакующий получает возможность выполнения произвольного кода в среде исполнения агента, что может привести к компрометации секретов времени выполнения и доступу к смежным системам, доступным агенту.
Этот случай наглядно демонстрирует, как традиционные классы уязвимостей — SQL-инъекция и небезопасная десериализация — приобретают повышенную опасность в контексте фреймворков ИИ-агентов. Агенты, как правило, обладают расширенными привилегиями и доверием, что делает компрометацию их среды исполнения значительно более разрушительной, чем компрометацию обычного веб-приложения.
Рекомендации по устранению
- Обновите затронутые пакеты: langgraph-checkpoint-sqlite до версии 3.0.1 и выше, langgraph до 1.0.10 и выше, @langchain/langgraph-checkpoint-redis до 1.0.1 и выше.
- Реализуйте аутентификацию для самостоятельно размещённых серверов LangGraph — эндпоинты вроде get_state_history() не должны быть доступны без авторизации.
- Исключите долгоживущие статические секреты из среды исполнения агентов; используйте ротацию учётных данных.
- Примените сетевую сегментацию: изолируйте среду исполнения ИИ-агентов от критичных внутренних систем.
- Рассматривайте ИИ-агентов как привилегированные идентичности и применяйте принцип минимальных привилегий для ограничения их доступа.
- Валидируйте пользовательский ввод перед передачей в параметры фильтрации контрольных точек — не полагайтесь исключительно на защиту на уровне фреймворка.
Организациям, использующим LangGraph в самостоятельно размещённых конфигурациях, следует приоритетно обновить все три затронутых компонента и провести аудит доступности эндпоинтов управления состоянием агентов. Даже при отсутствии подтверждённой эксплуатации в реальных условиях, наличие детального технического описания цепочки атаки от Check Point существенно снижает порог для потенциальных злоумышленников.
