TokyoBlackHatNews

cyberpress.org 4分で読了

LangGraphの深刻な脆弱性チェーン、サーバー完全乗っ取りを可能に

LangChainの開発者が手がけるオープンソースAIエージェントフレームワーク「LangGraph」において、重大な脆弱性チェーンが新たに開示されました。攻撃者はこれらの欠陥を悪用することで、セルフホスト環境に対して完全なリモートコード実行(RCE)を達成できるとされています。

Checkpointによると、LangGraphは月間約4,650万ダウンロードを誇る世界有数のAIエージェントプラットフォームであり、今回の開示はエンタープライズ環境において特に重大な意味を持っています。

この脆弱性チェーンの起点となるのは、LangGraphのget_state_history()関数です。この関数は、永続化レイヤーから過去のエージェントチェックポイントを取得する役割を担っています。

チェックポインターは各ステップにおけるエージェントの実行状態を保存しており、AIエージェントのメモリとして機能する重要な存在です。フレームワークのコア実行パスに深く組み込まれています。

最初の欠陥は、CVE-2025-67644(CVSS 7.3)です。これはSQLiteチェックポインターの_metadata_predicate()関数に存在するSQLインジェクション脆弱性です。

この関数は、ユーザーが制御できるメタデータフィルターキーを、例えばjson_extract(CAST(metadata AS TEXT), '$.{query_key}')のように、検証やサニタイズを一切行わないまま安全でないfフォーマット文字列でSQLクエリ文字列に直接埋め込んでしまいます。

これにより、攻撃者は任意のSQLを注入し、データベースから返されるチェックポイントデータを操作することが可能になります。

この欠陥だけでも深刻ですが、2つ目の脆弱性はサーバーの完全な侵害につながります。CVE-2026-28277は、LangGraphのチェックポイント読み込み機構に存在する、安全でないmsgpackデシリアライゼーションの欠陥です。

LangGraphはデータベースから取得したチェックポイントデータを処理するため、SQLインジェクションによってそのデータを改ざんした攻撃者が、デシリアライズ時に悪意あるPythonオブジェクトを再構成する細工済みmsgpackペイロードを投入することで、最終的にサーバー上でos.system()を実行させることができます。

3つ目の欠陥であるCVE-2026-27022は、Redisチェックポインターバックエンドにおける同様のクエリインジェクション問題をカバーしています。

上のフロー図はこの攻撃チェーンを正確に示しています。公開されたget_state_history() APIから始まり、脆弱なsqliteSaver.list()呼び出し、UNIONを使ったSQLクエリ注入、loads_typed("msgpack", checkpoint)_msgpack_ext_hook(code, bytes)を経て、最終的にos.system(command)の実行に至ります。

攻撃が成功した場合、攻撃者が手にするものは単なる足がかりにとどまりません。侵害されたLangGraphサーバーは、LLM APIキー、会話履歴の全記録、CRM認証情報、顧客の個人情報(PII)、そして内部ネットワークへの直接的な侵入口を露出させます。つまり、そのAIエージェントがかつて触れたすべての情報が危険にさらされるのです。

Checkpointは、この点が単一セッションにしか影響しないプロンプトインジェクションとは本質的に異なると指摘しています。サーバーが完全に侵害された場合、すべてのエージェント操作に対して継続的かつ遡及的なアクセスが可能になります。

この脆弱性チェーンが悪用可能なのは、SQLiteまたはRedisチェックポインターを使用し、かつユーザーが制御可能なフィルター入力を許可しているセルフホスト環境に限られます。LangChainのマネージドプラットフォームはPostgreSQLを使用しているため、影響を受けません。3つのCVEはすべてパッチが適用済みです。

今回の調査研究は、AIエコシステム全体で顕在化している危険なパターンを浮き彫りにしています。SQLインジェクションのようなクラシックな脆弱性クラスが、昇格されたアクセス権・長期的なシークレット・信頼されたアイデンティティを保持するAIエージェントフレームワーク内では、指数関数的に深刻化するということです。

本番環境でLangGraphを運用しているチームは、直ちにパッチを適用し、適切な認証の背後にサーバーを配置し、すべてのエージェント認証情報に最小権限アクセスを適用し、侵害されたエージェントランタイムを侵害された特権アカウントと同等の緊急度で対処する必要があります。

AIエージェントがエンタープライズインフラへの統合をより深めていく中、その永続化層とデシリアライゼーション層のセキュリティ確保は、もはや選択肢ではありません。

翻訳元: https://cyberpress.org/critical-langgraph-vulnerability/

ソース: cyberpress.org
#AIエージェント #CVE #LangChain #LangGraph #SQLインジェクション #エンタープライズセキュリティ #セキュリティパッチ #デシリアライゼーション #リモートコード実行 #脆弱性

関連記事

APT28、OutlookのゼロクリックCVEを悪用してNATOターゲットからNet-NTLMv2ハッシュを窃取

Microsoft OutlookおよびWordの深刻な脆弱性、悪意あるコード実行を可能に

偽の税務書類を悪用:NinjaOne RMMエージェントを展開する遠隔アクセス攻撃キャンペーン