Tre CVE-er i LangGraph, agentrammeverket fra LangChain, lar en angriper i verste fall ta full kontroll over serveren. Det melder sikkerhetsselskapet Check Point, som fant feilene sammen med forsker Yarden Porat. Den alvorligste kjeden kombinerer CVE-2025-67644, en SQL-injection i SQLite-checkpointeren (CVSS 7.3), med CVE-2026-28277, usikker msgpack-deserialisering (CVSS 6.8).
Angrepet rammer bare selvhostede oppsett som bruker SQLite- eller Redis-checkpointeren med brukerstyrt filterinput, og som eksponerer get_state_history()-endepunktet. LangChains driftede plattform, LangSmith Deployment, er ikke berørt. Angriperen sender et SQL-injection-filter som returnerer en falsk checkpoint-rad med angriperkontrollert serialisert data; når applikasjonen deserialiserer denne BLOB-en, kjører nyttelasten på serveren.
«Funnene viser hvordan klassiske sårbarhetsklasser som SQL-injection blir mer potente når de dukker opp i KI-agentrammeverk som bærer forhøyet tilgang og tillit» — Check Point
En tredje feil, CVE-2026-27022, er en RediSearch-query-injection i langgraph-checkpoint-redis som kan brukes til å omgå tilgangskontroll. Alle tre er patchet.
Hva bør du gjøre?
- Oppgrader nå: langgraph-checkpoint-sqlite til 3.0.1+, langgraph til 1.0.10+, og langgraph-checkpoint-redis til 1.0.1+.
- Steng eller saner get_state_history() hvis du eksponerer det med brukerstyrt filterinput.
- Bruk en driftet plattform eller streng tilgangskontroll rundt checkpoint-lageret hvis du kjører selvhostet.