Пријави инцидент
Пријави инцидент

Синџир на ранливости во LangGraph ги изложува самостојно хостираните AI агенти на далечинско извршување на код

Објавено: 12.06.2026

Истражувачи од областа на сајбер-безбедноста објавија детали за три безбедносни ранливости во LangGraph, кои во меѓувреме се поправени, вклучувајќи и критичен синџир на ранливости што може да доведе до далечинско извршување на код (Remote Code Execution – RCE).

LangGraph е framework со отворен код создаден од LangChain за развој на сложени, состојбени (stateful) и мултиагентски апликации базирани на вештачка интелигенција.

„SQL Injection ранливост во една од функциите на LangGraph може да им овозможи на напаѓачите целосно преземање контрола врз серверот преку далечинско извршување на код, искористувајќи слабости во начинот на кој системот ги обработува и ракува со податоците“, соопшти Check Point.

Идентификувани ранливости

CVE-2025-67644 (CVSS: 7.3)

Постои SQL Injection ранливост во SQLite имплементацијата за checkpoint механизам на LangGraph, која им овозможува на напаѓачите да манипулираат со SQL барања преку клучеви во metadata филтрите.

  • Засегнати верзии: langgraph-checkpoint-sqlite пред верзија 3.0.1

CVE-2026-28277 (CVSS: 6.8)

Небезбедна десериализација на msgpack податоци во LangGraph, која може да се искористи за реконструкција на објекти при вчитување на checkpoint, доколку напаѓачот има можност да ги измени checkpoint податоците.

  • Засегнати верзии: langgraph пред верзија 1.0.10

CVE-2026-27022 (CVSS: 6.5)

RediSearch Query Injection ранливост во пакетот @langchain/langgraph-checkpoint-redis, која може да се искористи за заобиколување на механизмите за контрола на пристап.

  • Засегнати верзии: @langchain/langgraph-checkpoint-redis пред верзија 1.0.1

Кои системи се погодени?

Според Check Point, синџирот на ранливости може да се експлоатира кај самостојно хостирани (self-hosted) инсталации кои користат SQLite или Redis checkpoint механизми и дозволуваат кориснички контролирани филтри.

Од друга страна, управуваната платформа на LangChain – LangSmith Deployment – не е засегната од овие проблеми.

Како функционира нападот?

Истражувачот за безбедност Јарден Порат, кој ги открил и пријавил сите три ранливости, објасни дека CVE-2025-67644 и CVE-2026-28277 можат да се комбинираат во синџир што резултира со далечинско извршување на код.

Нападот се потпира на тоа апликацијата да го изложува endpoint-от get_state_history(), кој овозможува пребарување и преземање на историски checkpoint записи врз основа на нивните метаподатоци.

Нападот се одвива во следните чекори:

  1. Напаѓачот подготвува специјално креиран msgpack payload кој содржи инструкции за извршување на произволен код.
  2. Потоа испраќа злонамерен filter параметар кој ја искористува SQL Injection ранливоста за да врати лажен checkpoint запис во резултатите од базата на податоци.
  3. Во лажниот запис, колоната за checkpoint содржи серијализирани податоци контролирани од напаѓачот.
  4. Кога апликацијата ги обработува резултатите од барањето, автоматски го десериализира злонамерниот checkpoint BLOB.
  5. Поради небезбедната десериализација, се активира payload-от на напаѓачот, што резултира со далечинско извршување на код на серверот и целосно компромитирање на системот.

Заклучок

Комбинацијата на SQL Injection и небезбедна десериализација претставува сериозна закана за self-hosted LangGraph инсталациите. Организациите што користат LangGraph со SQLite или Redis checkpoint механизми треба веднаш да ги ажурираат засегнатите компоненти на најновите верзии и да проверат дали endpoint-от get_state_history() е јавно достапен или недоволно заштитен.

Успешна експлоатација на овој синџир на ранливости може да му овозможи на напаѓачот целосна контрола над серверот на кој работи AI агентот.

LangGraph ја опиша ранливоста CVE-2026-28277 како проблем што може да се искористи само по веќе извршена компромитација (post-exploitation issue), при што успешната злоупотреба бара напаѓачот да има можност да запише сопствени checkpoint податоци и потоа да ги претвори во извршување на код во работната околина на апликацијата. Според одржувачите на проектот, оваа ранливост не претставува ризик за постојните инсталации хостирани преку LangSmith.

Во такво сценарио, ескалацијата од „можност за запишување во checkpoint складиштето“ до „извршување на код“ може да доведе до откривање на чувствителни тајни и акредитиви што се наоѓаат во работната околина, како и до пристап до други системи до кои апликацијата има мрежна поврзаност.

Одржувачите на LangGraph дополнително нагласуваат:

„Опишаниот модел на закана бара напаѓачот да може да манипулира со checkpoint слојот за перзистенција што го користи инсталацијата. Вообичаените хостирани конфигурации се дизајнирани да го спречат ваквиот тип на пристап.“

Од Check Point истакнуваат дека ова откритие покажува како класичните категории на ранливости, како што е SQL Injection, можат да станат значително поопасни кога се појавуваат во AI агентски платформи кои располагаат со зголемени привилегии и високо ниво на доверба. Во такви околности, потенцијалната последица е компромитирање на чувствителни податоци и критични системи.

Препорачани мерки за заштита

Корисниците на LangGraph се советуваат да:

  • Ги инсталираат најновите безбедносни ажурирања и закрпи.
  • Овозможат автентикација за self-hosted LangGraph серверите.
  • Избегнуваат користење на долгорочни статички тајни, лозинки и API клучеви.
  • Спроведат мрежна сегментација за ограничување на движењето низ инфраструктурата.
  • Ги третираат AI агентите како привилегирани дигитални идентитети.
  • Го применуваат принципот на најмали привилегии (Principle of Least Privilege – PoLP), со што ќе се ограничи пристапот на агентите само до ресурсите што им се неопходни за работа.

Експертите предупредуваат дека како што AI агентите добиваат сè поголем пристап до бази на податоци, API интерфејси, интерни системи и деловни процеси, нивната компромитација може да има далеку посериозни последици отколку компромитација на традиционална веб-апликација. Затоа, безбедноста на агентските AI платформи станува критичен дел од современата сајбер-заштита.

Извори:

  • The Hacker News – LangGraph Flaw Chain Exposes Self-Hosted AI Agents to Remote Code Execution The Hacker News