Pesquisadores de cibersegurança divulgaram detalhes de três falhas de segurança já corrigidas que afetam o LangGraph, incluindo uma cadeia de vulnerabilidades crítica que pode resultar em execução remota de código.
O LangGraph é um framework open source criado pela LangChain para desenvolver aplicações de inteligência artificial agentic complexas, com estado persistente e capacidade de operar com múltiplos agentes.
“Uma injeção SQL na função do LangGraph pode permitir que invasores obtenham controle total de um servidor por meio de execução remota de código, explorando fraquezas na forma como o sistema processa e trata os dados”, afirmou a Check Point.
A lista de vulnerabilidades identificadas é a seguinte:
CVE-2025-67644
, com pontuação CVSS 7,3.
Trata-se de uma vulnerabilidade de injeção SQL na implementação de checkpoints SQLite do LangGraph, que permite a invasores manipular consultas SQL por meio de chaves de filtro de metadados.
Afeta versões do langgraph-checkpoint-sqlite anteriores à 3.0.1.
CVE-2026-28277
, com pontuação CVSS 6,8.
É uma vulnerabilidade de desserialização insegura de msgpack no LangGraph, que pode ser usada para acionar a reconstrução de objetos quando um checkpoint é carregado por um invasor que consiga modificar os dados do checkpoint.
Afeta versões do langgraph anteriores à 1.0.10.
CVE-2026-27022
, com pontuação CVSS 6,5.
Trata-se de uma injeção de consultas RediSearch em @langchain/langgraph-checkpoint-redis, que pode ser usada para contornar controles de acesso.
Afeta versões do @langchain/langgraph-checkpoint-redis anteriores à 1.0.1.
“A cadeia de vulnerabilidades pode ser explorada em implantações self-hosted que usem o verificador de checkpoints SQLite ou Redis com entrada de filtro controlada pelo usuário”, disse a Check Point.
“A plataforma gerenciada da LangChain, o LangSmith Deployment, não é afetada.”
O pesquisador de segurança Yarden Porat, creditado por descobrir e reportar as três falhas, afirmou que as
CVE-2025-67644
e
CVE-2026-28277
podem ser combinadas para alcançar execução remota de código.
O ataque depende especificamente de a aplicação expor o endpoint get_state_history(), o que permite ao invasor recuperar checkpoints históricos com base em seus metadados.
O processo exige as seguintes etapas:
O invasor prepara um payload em msgpack contendo instruções para executar código arbitrário.
O invasor envia um parâmetro de filtro malicioso que explora a vulnerabilidade de injeção SQL para retornar uma linha falsa de checkpoint nos resultados da consulta ao banco de dados, com a coluna de checkpoint contendo dados serializados sob controle do invasor.
Quando a aplicação processa os resultados da consulta, ela desserializa o BLOB do checkpoint malicioso.
O invasor explora a vulnerabilidade de desserialização insegura para executar o payload e obter execução remota de código no servidor.
O LangGraph descreveu a
CVE-2026-28277
como um problema de pós-exploração, no qual a exploração bem-sucedida exige a capacidade de gravar dados de checkpoint controlados pelo invasor e convertê-los em código executável no runtime da aplicação.
Segundo a empresa, isso não representa risco para implantações já hospedadas no LangSmith.
Nesse cenário, essa escalada de “acesso de gravação ao armazenamento de checkpoints” para execução de código pode “expor segredos do runtime ou fornecer acesso a outros sistemas aos quais o runtime consiga alcançar”, afirmaram os mantenedores do LangGraph.
“O modelo de ameaça descrito exige que um invasor adultere a camada de persistência de checkpoints usada pela implantação; configurações hospedadas típicas são projetadas para impedir esse tipo de acesso.”
A Check Point afirmou que os achados mostram como classes clássicas de vulnerabilidade, como a injeção SQL, podem se tornar ainda mais perigosas quando aparecem em frameworks de agentes de IA que operam com privilégios elevados e alto nível de confiança, abrindo caminho para a exposição de dados sensíveis.
Os usuários são orientados a aplicar as correções mais recentes, implementar autenticação em servidores LangGraph self-hosted, evitar segredos estáticos de longa duração, impor segmentação de rede, tratar agentes de IA como identidades privilegiadas e aplicar o princípio do menor privilégio para reduzir a superfície de acesso do agente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...