Gepatchte LangGraph-Lücken ermöglichen in selbst gehosteten KI-Agenten Remote Code Execution

Zusammenfassung

Sicherheitsforscher haben drei inzwischen behobene Schwachstellen in LangGraph offengelegt, darunter eine kritische Angriffskette, die auf selbst gehosteten Installationen zu Remote Code Execution führen kann. Das Open-Source-Framework von LangChain dient zum Aufbau komplexer, zustandsbehafteter und Multi-Agenten-basierter KI-Anwendungen. Nach Angaben von Check Point steckt der Kern des Problems in einer SQL-Injection in einer LangGraph-Funktion. Angreifer könnten dadurch Schwächen bei der Verarbeitung und Handhabung von Daten ausnutzen und so die vollständige Kontrolle über einen Server erlangen. Betroffen ist laut Check Point eine bestimmte Konstellation: selbst gehostete Deployments, die den SQLite- oder Redis-Checkpointer zusammen mit vom Nutzer steuerbaren Filtereingaben verwenden. Nicht betroffen ist demnach LangChains verwaltete Plattform LangSmith Deployment. Alle drei Schwachstellen wurden von dem Sicherheitsforscher Yarden Porat entdeckt und gemeldet.

Check Point beschreibt die Schwachstellen als bereits gepatcht. Im Mittelpunkt steht eine Kette aus CVE-2025-67644 und CVE-2026-28277, die nach Angaben von Yarden Porat zu Remote Code Execution kombiniert werden kann. Die Forscher führen die Gefahr auf eine SQL-Injection in einer LangGraph-Funktion zurück, die Angreifern ermöglicht, das System über dessen Datenverarbeitung anzugreifen.

Ausnutzbar ist die Angriffskette laut Check Point in selbst gehosteten Umgebungen, wenn der SQLite- oder Redis-Checkpointer verwendet wird und Filtereingaben vom Nutzer kontrolliert werden können. LangChains verwaltete Plattform LangSmith Deployment ist nach Angaben des Unternehmens nicht betroffen. Entscheidend ist dabei, dass die Anwendung den Endpunkt get_state_history() nach außen bereitstellt. Über diesen lassen sich historische Checkpoints anhand ihrer Metadaten abrufen.

LangGraph selbst stuft CVE-2026-28277 als Problem nach einer bereits erfolgten Kompromittierung ein. Für eine erfolgreiche Ausnutzung müsse ein Angreifer in der Lage sein, selbst kontrollierte Checkpoint-Daten zu schreiben und diese anschließend in Codeausführung innerhalb der Laufzeitumgebung der Anwendung zu überführen. Für bestehende, von LangSmith gehostete Deployments bestehe daraus kein Risiko, so die Maintainer.

Die Entwickler von LangGraph warnen, dass diese Eskalation von Schreibzugriff auf den Checkpoint-Speicher zu Codeausführung „Laufzeit-Geheimnisse offenlegen oder Zugang zu anderen Systemen verschaffen kann, die von der Laufzeitumgebung aus erreichbar sind“. Zugleich betonen sie, dass das beschriebene Bedrohungsmodell voraussetzt, dass ein Angreifer die Persistenzschicht der Checkpoints manipulieren kann. Typische gehostete Konfigurationen seien darauf ausgelegt, genau einen solchen Zugriff zu verhindern.

Check Point wertet die Erkenntnisse als Beispiel dafür, wie klassische Schwachstellenklassen wie SQL-Injection in Frameworks für KI-Agenten an Brisanz gewinnen können. Solche Systeme arbeiten laut den Forschern oft mit erhöhten Rechten und einem hohen Vertrauensniveau, was den Weg für die Offenlegung sensibler Daten öffnen kann.

Als Gegenmaßnahmen empfehlen die Forscher und Maintainer, die neuesten Korrekturen einzuspielen, Authentifizierung für selbst gehostete LangGraph-Server einzurichten, langlebige statische Geheimnisse zu vermeiden, Netzwerksegmentierung durchzusetzen, KI-Agenten als privilegierte Identitäten zu behandeln und das Prinzip der geringsten Rechte anzuwenden, um den Zugriffsbereich der Agenten zu begrenzen.

Gepatchte LangGraph-Lücken ermöglichen in selbst gehosteten KI-Agenten Remote Code Execution

Ähnliche Artikel

Neueste Artikel