Cadena de fallos en LangGraph permite ejecución remota de código en IA
Publicado el
Vulnerabilidades Críticas en LangGraph
Investigadores han revelado detalles sobre tres vulnerabilidades recientemente corregidas en LangGraph, un marco de trabajo de código abierto desarrollado por LangChain para crear aplicaciones de inteligencia artificial (IA) complejas y multiagente. Entre estas, destaca una cadena de vulnerabilidades que podría permitir la ejecución remota de código, lo que representa un grave riesgo para las implementaciones autoalojadas.
Descripción de las Vulnerabilidades
CVE-2025-67644 (Puntuación CVSS: 7.3) es una vulnerabilidad de inyección SQL en la implementación de puntos de control de SQLite de LangGraph. Esta falla permite a los atacantes manipular consultas SQL mediante claves de filtro de metadatos. Se ven afectadas las versiones de langgraph-checkpoint-sqlite anteriores a la 3.0.1.
CVE-2026-28277 (Puntuación CVSS: 6.8) implica una deserialización insegura de msgpack que puede ser utilizada por un atacante para reconstruir objetos al cargar un punto de control modificado. Afecta a las versiones de LangGraph anteriores a la 1.0.10.
CVE-2026-27022 (Puntuación CVSS: 6.5) se refiere a una inyección de consulta en @langchain/langgraph-checkpoint-redis, que permite eludir controles de acceso. Esta vulnerabilidad afecta a versiones anteriores a la 1.0.1 de @langchain/langgraph-checkpoint-redis.
Mecanismo de Explotación
Según Check Point, la cadena de vulnerabilidades es explotable en implementaciones autoalojadas utilizando los puntos de control de SQLite o Redis con entradas de filtro controladas por el usuario. Un investigador de seguridad, Yarden Porat, quien descubrió y reportó estas fallas, señala que CVE-2025-67644 y CVE-2026-28277 pueden ser encadenadas para conseguir la ejecución remota de código.
El proceso de ataque involucra varios pasos:
1. El atacante prepara un payload de msgpack con instrucciones para ejecutar código arbitrario. 2. Envía un parámetro de filtro malicioso que explota la vulnerabilidad de inyección SQL para devolver una fila de punto de control falsa en los resultados de la consulta a la base de datos. 3. La aplicación procesa los resultados de la consulta y deserializa el BLOB del punto de control malicioso. 4. El atacante utiliza la vulnerabilidad de deserialización insegura para ejecutar su payload, obteniendo así la ejecución remota de código en el servidor.
Implicaciones y Recomendaciones
LangGraph ha descrito CVE-2026-28277 como un problema de post-explotación. La explotación exitosa requiere la capacidad de escribir datos de punto de control controlados por el atacante y convertir eso en ejecución de código en el entorno de aplicación. Este riesgo no afecta a las implementaciones alojadas en LangSmith.
Los mantenedores de LangGraph advierten que el modelo de amenaza descrito necesita que un atacante manipule la capa de persistencia de puntos de control de la implementación. Las configuraciones típicas alojadas están diseñadas para prevenir este tipo de acceso.
Check Point destaca que estos hallazgos demuestran cómo clases clásicas de vulnerabilidades, como la inyección SQL, pueden volverse más peligrosas al manifestarse dentro de marcos de agentes de IA que poseen acceso y confianza elevados, lo que abre la puerta a la exposición de datos sensibles.
Se recomienda a los usuarios aplicar las últimas correcciones, implementar autenticación en los servidores de LangGraph autoalojados, evitar secretos estáticos de larga duración, hacer cumplir la segmentación de red, tratar a los agentes de IA como identidades privilegiadas y aplicar el principio de mínima privilegio (PoLP) para limitar el alcance de acceso de los agentes.