LangGraph : chaîne SQLi vers RCE sur agents IA auto-hébergés (CVE-2025-67644)

Les faits

Le 13 juin 2026, les chercheurs de Check Point Research ont publié les détails complets d'une chaîne d'exploitation affectant LangGraph, le framework de LangChain dédié à la construction d'agents IA et de workflows multi-agents. La chaîne combine deux vulnérabilités distinctes pour aboutir à une exécution de code à distance complète sur n'importe quel serveur auto-hébergé exposant l'API LangGraph. Les failles avaient été découvertes par la chercheuse Yarden Porat et transmises à LangChain via divulgation responsable.

La première vulnérabilité, CVE-2025-67644 (CVSS 7.3), est une injection SQL dans l'implémentation du SQLite checkpoint de LangGraph. La fonction _metadata_predicate() du checkpointer SQLite concatène directement les clés de filtrage des métadonnées fournies par l'utilisateur dans une requête SQL via du formatage f-string, sans aucune validation ni sanitisation. Un attaquant contrôlant ces clés peut injecter des commandes SQL arbitraires et lire l'intégralité des checkpoints stockés — ce qui peut inclure des données sensibles : états de conversations, tokens d'API, secrets de configuration.

Mais la chaîne ne s'arrête pas là. CVE-2025-67644 est combinée avec CVE-2026-28277, une vulnérabilité de désérialisation non sécurisée dans le traitement des données msgpack stockées dans les checkpoints. LangGraph sérialise l'état complet des agents en format msgpack. Lors de la restauration, ces données sont désérialisées sans validation des types. En combinant l'injection SQL pour écrire un checkpoint malveillant avec la désérialisation non sécurisée lors de sa lecture, l'attaquant peut injecter des objets Python arbitraires qui s'exécutent lors de la désérialisation — aboutissant à une RCE complète avec les privilèges du processus LangGraph.

L'impact est particulièrement préoccupant en 2026, alors que de nombreuses organisations déploient des agents IA en production pour des tâches sensibles : analyse de documents confidentiels, assistance à la décision, automatisation de processus métier avec accès à des systèmes internes. Un LangGraph compromis peut devenir le pivot idéal pour accéder à tous les systèmes auxquels l'agent a des permissions — bases de données, APIs internes, outils de productivité.

La divulgation s'accompagne d'un code de démonstration complet publié sur le blog de Check Point Research. Les équipes de LangChain avaient été notifiées plusieurs semaines auparavant et avaient publié des versions corrigées avant la divulgation publique. Cependant, la mise à jour des dépendances Python dans des environnements de production peut prendre plusieurs semaines dans les environnements avec des pipelines de déploiement stricts.

Cette vulnérabilité s'inscrit dans un contexte plus large : 2026 marque la première vague d'incidents sérieux touchant l'infrastructure d'agents IA. Après Langflow (CVE-2026-5027, 7 000 serveurs compromis), après les attaques Agentjacking sur les outils de codage IA, LangGraph représente un troisième vecteur ciblant cette nouvelle surface d'attaque que constituent les frameworks d'agents IA auto-hébergés.

Selon les données de téléchargement PyPI, le package langgraph enregistre plusieurs millions de téléchargements mensuels en 2026. La proportion de déploiements encore en version vulnérable est inconnue, mais la popularité du framework dans l'écosystème LLM suggère une exposition significative.

D'après The Hacker News, des attaquants cherchaient dès le 13 juin 2026 à scanner les instances LangGraph exposées sur des ports connus. La fenêtre d'opportunité pour les non-patchés est donc très courte.

Impact et exposition

Tout déploiement auto-hébergé de LangGraph en versions antérieures à langgraph 1.0.10 et langgraph-checkpoint-sqlite 3.0.1 est potentiellement vulnérable si une API est exposée à des utilisateurs ou systèmes non entièrement de confiance. Les déploiements cloud managés par LangSmith Cloud ne sont pas affectés. Les données à risque incluent l'historique complet des conversations des agents, les données traitées, et potentiellement les tokens et clés d'API stockés dans l'état des agents. En cas d'exploitation RCE complète, l'ensemble du système hébergeant LangGraph est compromis.

Recommandations

• Immédiat : pip install "langgraph==1.0.10" "langgraph-checkpoint-sqlite==3.0.1" "langgraph-checkpoint-redis==1.0.2"
• Auditer les checkpoints stockés pour détecter des données JSON ou msgpack anormales injectées
• Restreindre l'accès à l'API LangGraph aux seuls utilisateurs et systèmes légitimes via authentification forte
• Vérifier que les variables d'environnement contenant des secrets ne sont pas accessibles au processus LangGraph si ce n'est pas nécessaire
• Mettre en place un monitoring des appels API LangGraph pour détecter des patterns d'utilisation anormaux