Los investigadores de ciberseguridad han revelado tres vulnerabilidades de seguridad que afectan a LangChain y LangGraph y que, si se explotan con éxito, podrían exponer datos del sistema de archivos, secretos del entorno y el historial de conversaciones.
Tanto LangChain como LangGraph son marcos de código libre que se utilizan para crear aplicaciones basadas en modelos de lenguajes grandes (LLM). LangGraph se podio en los cimientos de LangChain para flujos de trabajo agentes más sofisticados y no lineales. Según las estadísticas del Python Package Index (PyPI), LangChain, LangChain-Core y LangGraph se descargaron más de 52 millones, 23 millones y 9 millones de veces solo la semana pasada.
“Cada vulnerabilidad expone una clase diferente de datos empresariales: archivos del sistema de archivos, secretos ambientales e historial de conversaciones”, dijo el investigador de seguridad de Cyera, Vladimir Tokarev, en un crónica publicado el jueves.
Los problemas, en pocas palabras, ofrecen tres caminos independientes que un atacante puede explotar para drenar datos confidenciales de cualquier implementación empresarial de LangChain. Los detalles de las vulnerabilidades son los siguientes:
- CVE-2026-34070 (Puntuación CVSS: 7,5): una vulnerabilidad de reconvención de ruta en LangChain (“langchain_core/prompts/loading.py”) que permite el golpe a archivos arbitrarios sin ninguna energía a través de su API de carga rápida al proporcionar una plantilla de solicitud especialmente diseñada.
- CVE-2025-68664 (Puntuación CVSS: 9,3): una vulnerabilidad de deserialización de datos no confiables en LangChain que filtra claves API y secretos del entorno al suceder como entrada una estructura de datos que engaña a la aplicación para que la interprete como un objeto LangChain ya serializado en puesto de datos de becario normales.
- CVE-2025-67644 (Puntuación CVSS: 7,3): una vulnerabilidad de inyección SQL en la implementación del punto de control LangGraph SQLite que permite a un atacante manipular consultas SQL a través de claves de filtro de metadatos y ejecutar consultas SQL arbitrarias en la cojín de datos.
La explotación exitosa de las fallas antaño mencionadas podría permitir a un atacante acertar archivos confidenciales, como configuraciones de Docker, desviar secretos confidenciales mediante una inyección rápida y consentir a historiales de conversaciones asociados con flujos de trabajo confidenciales. Vale la pena señalar que Cyata igualmente compartió detalles de CVE-2025-68664 en diciembre de 2025, dándole el criptonimo LangGrinch.
Las vulnerabilidades se han solucionado en las siguientes versiones:
- CVE-2026-34070: núcleo de dependencia de idiomas >=1.2.22
- CVE-2025-68664 – langchain-core 0.3.81 y 1.2.5
- CVE-2025-67644 – idiomagraph-checkpoint-sqlite 3.0.1
Los hallazgos subrayan una vez más cómo la inteligencia químico (IA) no es inmune a las vulnerabilidades de seguridad clásicas, lo que podría poner en aventura sistemas enteros.
El ampliación se produce días a posteriori de que una rotura de seguridad crítica que afecta a Langflow (CVE-2026-33017, puntuación CVSS: 9.3) haya sido explotada activamente interiormente de las 20 horas posteriores a la divulgación pública, lo que permite a los atacantes extraer datos confidenciales de los entornos de ampliación.
Naveen Sunkavally, arquitecto presidente de Horizon3.ai, dijo que la vulnerabilidad comparte la misma causa raíz que CVE-2025-3248 y se debe a puntos finales no autenticados que ejecutan código parcial. Cubo que los actores de amenazas se mueven rápidamente para explotar las fallas recientemente reveladas, es esencial que los usuarios apliquen los parches lo antaño posible para una protección óptima.
“LangChain no existe de forma aislada. Se encuentra en el centro de una red de dependencia masiva que se extiende a lo amplio de la pila de IA. Cientos de bibliotecas envuelven LangChain, lo amplían o dependen de él”, dijo Cyera. “Cuando existe una vulnerabilidad en el núcleo de LangChain, no solo afecta a los usuarios directos. Se propaga a través de cada biblioteca posterior, cada contenedor, cada integración que hereda la ruta del código pasivo”.
