研究者 Yarden Porat 氏が 6 月 12 日、LangChain 製の AI エージェント基盤 LangGraph に存在した 3 件の脆弱性を公表しました。うち 2 件を連鎖させると、自前ホストで稼働する AI エージェントの実行サーバーを完全に乗っ取れる可能性があり、いずれも修正済みパッチが提供されています。
主なポイント
- CVE-2025-67644 (CVSS 7.3): SQLite チェックポイントのメタデータ filter キーから任意 SQL を注入できる
- CVE-2026-28277 (CVSS 6.8): msgpack のデシリアライズ時に攻撃者制御オブジェクトを再構築させ任意コード実行が可能
- 上記 2 件を連鎖すると、ユーザー制御の filter 入力を持つ自前ホスト LangGraph に対し RCE が成立
- CVE-2026-27022 (CVSS 6.5): @langchain/langgraph-checkpoint-redis の RediSearch クエリインジェクションでアクセス制御回避
- 影響対象は SQLite / Redis チェックポインタを使う自前ホスト構成のみ。LangChain 提供のマネージド LangSmith Deployment は対象外
- 修正版: langgraph 1.0.10 / langgraph-checkpoint-sqlite 3.0.1 / @langchain/langgraph-checkpoint-redis 1.0.1 以降
出典: LangGraph Flaw Chain Exposes Self-Hosted AI Agents to Remote Code Execution (The Hacker News)