漏洞  ·  2026-07-07

LangGraph 任务结果缓存 — 缓存密钥生成中的弱哈希

漏洞Low 影响GlobalCVE-2026-14742
LangGraph 的任务结果缓存机制使用弱哈希函数生成缓存密钥,这可能允许精心构造的输入与缓存结果冲突,可能导致提供陈旧或不正确的缓存任务输出。
虽然 LangGraph 广泛部署用于构建有状态 LLM 代理,但此特定缺陷的严重性较低 (CVSS 3.1) 且需要本地访问——考虑到该框架的受欢迎程度值得跟踪,但就其本身而言不是紧急风险。
libs/langgraph/langgraph/_internal/_cache.py 中的 _freeze 函数为任务结果缓存中的 default_cache_key 参数使用弱/非密码学哈希,本地攻击者可能利用它导致缓存密钥冲突。
langchain-ai langgraph,至版本 1.2.4
升级到使用更强哈希函数进行缓存密钥的修补 LangGraph 版本,或提供自定义强哈希缓存密钥函数。
NVD CVE-2026-14742LangGraph GitHub
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →