- LangChain y LangGraph corrigen tres errores de alta gravedad que exponen archivos, secretos e historial de conversaciones
- Las vulnerabilidades incluyen recorrido de ruta, fugas de deserialización e inyección de SQL en puntos de control de SQLite.
- Los investigadores advierten que el riesgo fluye a través de las bibliotecas posteriores; Se solicita a los desarrolladores que auditen la configuración y consideren la salida de LLM como una entrada no confiable
LangChain y LangGraph, dos marcos populares de código abierto para crear aplicaciones de inteligencia artificial, tienen vulnerabilidades críticas y de alta gravedad que permiten a los actores de amenazas filtrar datos confidenciales de los sistemas comprometidos.
LangChain ayuda a los desarrolladores a crear aplicaciones utilizando modelos de lenguaje grandes (LLM) conectando modelos de IA con diversas fuentes de datos y herramientas. Es una herramienta popular entre los desarrolladores que desean crear chatbots y asistentes. Langgraph, por otro lado, está construido sobre Langchain y diseñado para ayudar a crear agentes de IA que siguen flujos de trabajo estructurados paso a paso. Utiliza gráficos de cómo se mueven las tareas paso a paso y los desarrolladores lo utilizan para procesos complejos de varios pasos.
Citando estadísticas en el Índice de paquetes de Python (PyPI), Noticias de piratas informáticos Dichos proyectos tienen más de 60 millones de descargas combinadas por semana, lo que sugiere que son extremadamente populares en la comunidad de desarrollo de software.
El artículo continúa a continuación.
Vulnerabilidades y parches
En total, los proyectos solucionaron tres vulnerabilidades:
CVE-2026-34070 (Puntuación de gravedad 7,5/10 – Alta): un error de recorrido de ruta en LangChain que permite el acceso arbitrario a archivos sin validación
CVE-2025-68664 (Puntuación de gravedad 9.3/10 – Crítico): una deserialización de una falla de datos no confiables de Longchain que filtra claves API y secretos ambientales.
CVE-2025-67644 (Puntuación de gravedad 7.3/10 – Alta): una vulnerabilidad de inyección SQL en la implementación de Langgraph SQLite Checkpoint que permite la manipulación de consultas SQL.
“Cada vulnerabilidad expone diferentes tipos de datos empresariales: archivos del sistema de archivos, secretos ambientales e historial de conversaciones”, dijo el investigador de seguridad de Cyra Vladimir Tokarev en un informe que detalla las fallas.
Noticias de piratas informáticos Notas Explotar cualquiera de las tres fallas permite a los actores de amenazas leer archivos confidenciales, como la configuración de Docker, revelar secretos mediante inyección rápida e incluso acceder al historial de conversaciones asociado con flujos de trabajo confidenciales.
Se han solucionado todos los errores, por lo que si utiliza alguna de estas herramientas, asegúrese de actualizar a la última versión para proteger sus proyectos.
CVE-2026-34070 Se puede solucionar llevando longchain-core al menos a la versión 1.2.22
CVE-2025-68664 Se puede solucionar llevando langchain-core a la versión n0.3.81 y 1.2.5
CVE-2025-67644 Se puede solucionar llevando langgraph-checkpoint-sqlite a la versión 3.0.1
Fontanería básica
Para Saira, los hallazgos muestran que la mayor amenaza para los datos de IA empresarial puede no ser tan compleja como la gente piensa.
“De hecho, se esconde en la tubería invisible y fundamental que conecta su IA con su negocio. Esta capa es vulnerable a algunos trucos antiguos del manual de los piratas informáticos”, dijeron.
También advierten que LangChain “no existe de forma aislada”, sino que se encuentra “en el centro de una vasta red de dependencias que se extiende a lo largo de la pila de IA”. Cientos de bibliotecas envuelven Longchain, lo amplían o dependen de él, lo que significa que cualquier vulnerabilidad en el proyecto también significa vulnerabilidades posteriores.
Los errores son “cada biblioteca posterior, cada contenedor, cada integración que se propaga externamente al heredar una ruta de código vulnerable”.
Para proteger verdaderamente su entorno, las herramientas de parcheo no serán suficientes, dijeron. Cualquier código que pase una configuración externa o controlada por el usuario a load_prompt_from_configuration() o load_prompt() debe ser auditado, y los desarrolladores no deben habilitar secrets_from_env=True al deserializar datos que no son de confianza. “El nuevo default es falso. Que siga así”, advirtieron.
También instaron a la comunidad a considerar los resultados del LLM como “insumos poco confiables”, ya que diferentes campos pueden verse afectados por una inyección rápida. Finalmente, las claves del filtro de metadatos deben validarse antes de enviarse a la consulta del punto de control.
“Nunca permita que las cadenas controladas por el usuario sean claves de diccionario en las operaciones de filtrado”.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
