技術的な説明
Check Point Research は2026年6月11日にLangGraphの重大な2段階の脆弱性チェーンを公開しました。CVE-2025-67644はSQLiteチェックポインター(langgraph-checkpoint-sqlite)のSQL インジェクションであり、チェックポイントに保存されたエージェントメモリを操作することができます。CVE-2026-28277は安全でないmsgpackデシリアライゼーションの欠陥であり、SQLインジェクションと組み合わせると、LangGraphエージェントをホストするサーバー上で完全なリモートコード実行が可能になります。侵害されたエージェントにより、LLM APIキー、会話履歴、接続されたエンタープライズデータ、および内部ネットワークアクセスが露出します。
攻撃経路
エージェント状態に影響を与える能力を持つ攻撃者(例えば、先行するプロンプトインジェクションを通じて、またはエージェントが読み取るコンテンツを制御することにより)は、細工されたSQLペイロードをチェックポインターに埋め込むことができます。このペイロードのSQLiteデシリアライゼーションはmsgpackチェーンをトリガーし、ホスト上でRCEを実現します。Redisチェックポインターも影響を受ける可能性があります。
影響を受けるシステム
LangGraph 1.0.10より前のバージョン(langraphパッケージ)およびlanggraph-checkpoint-sqlite 3.0.1より前のバージョン。LangGraphはLangChainチームによって作成されたエンタープライズ標準のステートフルエージェントフレームワークであり、本番環境のエージェンティックシステムに広く展開されています。
緩和策
langgraph-checkpoint-sqlite ≥3.0.1およびlanggraph ≥1.0.10に直ちにアップグレードしてください。パッチが適用されるまで、SQLiteまたはRedisチェックポインターを使用するエージェントによる外部コンテンツ取り込みを制限し、すべてのエージェントメモリ書き込みに入力サニタイゼーションを実装し、保存されたチェックポイントの改ざん兆候を監査してください。