Исследователи в области кибербезопасности выявили три уязвимости в фреймворках LangChain и LangGraph, которые могут привести к утечке данных файловой системы, секретов окружения и истории взаимодействий.
LangChain и LangGraph используются для разработки приложений на базе LLM. При этом LangGraph расширяет возможности LangChain, позволяя строить более сложные агентные сценарии. По данным PyPI, только за одну неделю загрузки этих библиотек превысили десятки миллионов, что делает потенциальное влияние уязвимостей масштабным.
Три класса уязвимостей
Обнаруженные проблемы дают три независимых вектора атаки, позволяющих извлекать чувствительные данные из приложений:
Первая уязвимость (CVE-2026-34070, оценка 7.5) связана с обходом путей в механизме загрузки промптов LangChain. Через специально сформированный шаблон атакующий может получить доступ к произвольным файлам без проверки.
Вторая уязвимость (CVE-2025-68664, оценка 9.3) касается десериализации недоверенных данных. Она позволяет извлекать API-ключи и секреты окружения, подменяя пользовательский ввод структурой, которая воспринимается системой как внутренний объект LangChain.
Третья уязвимость (CVE-2025-67644, оценка 7.3) обнаружена в LangGraph и связана с SQL-инъекцией в реализации SQLite checkpoint. Манипуляции с метаданными позволяют выполнять произвольные SQL-запросы к базе данных.
Возможные последствия
Эксплуатация этих уязвимостей дает доступ к различным типам корпоративных данных. Речь идет о файлах в системе, конфигурациях, секретах окружения и истории диалогов.
Атакующий может читать чувствительные файлы, включая конфигурации Docker, извлекать секреты через механизмы prompt injection и получать доступ к данным, связанным с внутренними процессами и пользовательскими сценариями.
Одна из уязвимостей, связанная с десериализацией, ранее уже раскрывалась под названием LangGrinch и затрагивает базовую логику обработки данных во фреймворке.
Обновления безопасности
Разработчики устранили выявленные проблемы в обновленных версиях библиотек. Пользователям рекомендуется установить исправления, чтобы исключить возможность эксплуатации уязвимостей.
Источник: HN