LangGraph Flaw Chain stelt zelfgehoste AI-agenten bloot aan uitvoering van code op afstand

Cyberbeveiliging
LangGraph Flaw Chain stelt zelfgehoste AI-agenten bloot aan uitvoering van code op afstand

Cybersecurity-onderzoekers hebben details bekendgemaakt van drie inmiddels gepatchte beveiligingsfouten die van invloed zijn op LangGraph, waaronder een kritieke kwetsbaarheidsketen die zou kunnen resulteren in het uitvoeren van code op afstand.

LangGraph is een open-sourceframework gemaakt door LangChain om complexe, stateful en multi-agent kunstmatige intelligentie (AI)-applicaties te bouwen.

“Een SQL-injectie in de functie van LangGraph zou aanvallers in staat kunnen stellen volledige controle te krijgen via het op afstand uitvoeren van code op een server, door gebruik te maken van zwakke punten in de manier waarop het systeem gegevens verwerkt en verwerkt”, aldus Check Point.

De lijst met geïdentificeerde kwetsbaarheden is als volgt:

  • CVE-2025-67644 (CVSS-score: 7,3) – Er bestaat een kwetsbaarheid voor SQL-injectie in de SQLite-controlepuntimplementatie van LangGraph waarmee aanvallers SQL-query’s kunnen manipuleren via metagegevensfiltersleutels. (Beïnvloedt langgraph-checkpoint-sqlite-versies vóór 3.0.1)
  • CVE-2026-28277 (CVSS-score: 6,8) – Een onveilige msgpack-deserialisatiekwetsbaarheid in LangGraph die kan worden gebruikt om objectreconstructie te activeren wanneer een controlepunt wordt geladen door een aanvaller die controlepuntgegevens kan wijzigen. (Beïnvloedt taalversies vóór 1.0.10)
  • CVE-2026-27022 (CVSS-score: 6,5) – Een RediSearch-query-injectie in @langchain/langgraph-checkpoint-redis die kan worden gebruikt om toegangscontroles te omzeilen. (Beïnvloedt versies van @langchain/langgraph-checkpoint-redis vóór 1.0.1)

“De kwetsbaarheidsketen kan worden misbruikt in zelfgehoste implementaties met behulp van de SQLite- of Redis-checkpointer met door de gebruiker gecontroleerde filterinvoer”, aldus Check Point. “Het beheerde platform van LangChain (LangSmith Deployment) wordt niet beïnvloed.”

Beveiligingsonderzoeker Yarden Porat, die wordt gecrediteerd voor het ontdekken en rapporteren van alle drie de fouten, zei dat CVE-2025-67644 en CVE-2026-28277 aan elkaar kunnen worden gekoppeld om code-uitvoering op afstand mogelijk te maken.

Concreet hangt de aanvalsketen af ​​van de toepassing die het get_state_history()-eindpunt blootlegt, waardoor een aanvaller historische controlepunten kan ophalen op basis van hun metagegevens. Het vereist de volgende stappen –

  • De aanvaller bereidt een msgpack-payload voor met instructies om willekeurige code uit te voeren.
  • De aanvaller verzendt een kwaadaardige filterparameter die misbruik maakt van de SQL-injectiekwetsbaarheid om een ​​valse controlepuntrij terug te sturen naar de databasequeryresultaten, waarbij de controlepuntkolom door de aanvaller gecontroleerde geserialiseerde gegevens bevat.
  • Wanneer de toepassing de queryresultaten verwerkt, wordt de BLOB van het kwaadaardige controlepunt gedeserialiseerd.
  • De aanvaller maakt misbruik van de onveilige deserialisatiekwetsbaarheid om de payload van de aanvaller uit te voeren, waardoor deze op afstand code op de server kan uitvoeren.

LangGraph heeft CVE-2026-28277 beschreven als een post-exploitatieprobleem, waarbij succesvolle exploitatie de mogelijkheid vereist om door de aanvaller gecontroleerde controlepuntgegevens te schrijven en die om te zetten in code-uitvoering in de runtime van de applicatie, en dit levert geen enkel risico op voor bestaande door LangSmith gehoste implementaties.

In een dergelijk scenario kan deze escalatie van schrijftoegang tot ‘checkpoint store’ naar code-uitvoering ‘runtimegeheimen blootleggen of toegang bieden tot andere systemen die de runtime kan bereiken’, aldus de beheerders van LangGraph. ‘Het beschreven bedreigingsmodel vereist dat een aanvaller knoeit met de checkpointpersistentielaag die door de implementatie wordt gebruikt; typische gehoste configuraties zijn ontworpen om dergelijke toegang te voorkomen.”

Check Point zei dat de bevindingen illustreren hoe klassieke kwetsbaarheidsklassen zoals SQL-injectie krachtiger kunnen worden wanneer ze zich manifesteren binnen AI-agentframeworks die verhoogde toegang en vertrouwen met zich meebrengen, waardoor de deur wordt geopend voor blootstelling aan gevoelige gegevens.

Gebruikers wordt geadviseerd om de nieuwste oplossingen toe te passen, authenticatie te implementeren voor zelf-gehoste LangGraph-servers, langlevende statische geheimen te vermijden, netwerksegmentatie af te dwingen, AI-agents als geprivilegieerde identiteiten te behandelen en het principe van least privilege (PoLP) toe te passen om de toegangsvoetafdruk van de agent te beperken.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Europol verstoort de door ransomware-bendes gebruikte crypto-witwasdienst AudiA6

Agentjacking-aanval verleidt AI-codeeragenten om schadelijke code uit te voeren

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]