Los investigadores de ciberseguridad han revelado tres vulnerabilidades de seguridad que afectan a LangChain y LangGraph y que, si se explotan con éxito, podrían exponer datos del sistema de archivos, secretos del entorno y el historial de conversaciones.

Tanto LangChain como LangGraph son marcos de código abierto que se utilizan para crear aplicaciones basadas en modelos de lenguajes grandes (LLM). LangGraph se basa en los cimientos de LangChain para flujos de trabajo agentes más sofisticados y no lineales. Según las estadísticas del Python Package Index (PyPI), LangChain, LangChain-Core y LangGraph se han descargado más de 52 millones, 23 millonesy 9 millones de veces Solo la semana pasada.

«Cada vulnerabilidad expone una clase diferente de datos empresariales: archivos del sistema de archivos, secretos del entorno e historial de conversaciones», dijo Vladimir Tokarev, investigador de seguridad de Cyera. dicho en un informe publicado el jueves.

Los problemas, en pocas palabras, ofrecen tres caminos independientes que un atacante puede aprovechar para drenar datos confidenciales de cualquier implementación empresarial de LangChain. Los detalles de las vulnerabilidades son los siguientes:

• CVE-2026-34070 (Puntuación CVSS: 7,5): una vulnerabilidad de recorrido de ruta en LangChain («langchain_core/prompts/loading.py») que permite el acceso a archivos arbitrarios sin ninguna validación a través de su API de carga rápida al proporcionar una interfaz especialmente diseñada. plantilla de mensaje.
• CVE-2025-68664 (Puntuación CVSS: 9,3): una vulnerabilidad de deserialización de datos no confiables en LangChain que filtra claves API y secretos del entorno al pasar como entrada una estructura de datos que engaña a la aplicación para que la interprete como un objeto LangChain ya serializado en lugar de datos de usuario normales.
• CVE-2025-67644 (Puntuación CVSS: 7,3): una vulnerabilidad de inyección SQL en la implementación del punto de control LangGraph SQLite que permite a un atacante manipular consultas SQL a través de claves de filtro de metadatos y ejecutar consultas SQL arbitrarias en la base de datos.

La explotación exitosa de las fallas antes mencionadas podría permitir a un atacante leer archivos confidenciales, como configuraciones de Docker, desviar secretos confidenciales mediante una inyección rápida y acceder a historiales de conversaciones asociados con flujos de trabajo confidenciales. Vale la pena señalar que Cyata también compartió detalles de CVE-2025-68664 en diciembre de 2025, dándole el criptonimo LangGrinch.

Las vulnerabilidades se han solucionado en las siguientes versiones:

• CVE-2026-34070: núcleo de cadena de idiomas >=1.2.22
• CVE-2025-68664 – langchain-core 0.3.81 y 1.2.5
• CVE-2025-67644 – idiomagraph-checkpoint-sqlite 3.0.1

Los hallazgos subrayan una vez más cómo la inteligencia artificial (IA) no es inmune a las vulnerabilidades de seguridad clásicas, lo que podría poner en riesgo sistemas enteros.

El desarrollo se produce días después de que una falla de seguridad crítica que afecta a Langflow (CVE-2026-33017, puntuación CVSS: 9.3) haya sido explotada activamente dentro de las 20 horas posteriores a la divulgación pública, lo que permite a los atacantes extraer datos confidenciales de los entornos de desarrollo.

Naveen Sunkavally, arquitecto jefe de Horizon3.ai, dijo que la vulnerabilidad comparte la misma causa raíz que CVE-2025-3248 y se debe a puntos finales no autenticados que ejecutan código arbitrario. Dado que los actores de amenazas se mueven rápidamente para explotar las fallas recientemente reveladas, es esencial que los usuarios apliquen los parches lo antes posible para una protección óptima.

«LangChain no existe de forma aislada. Se encuentra en el centro de una red de dependencia masiva que se extiende a lo largo de la pila de IA. Cientos de bibliotecas envuelven LangChain, lo amplían o dependen de él», dijo Cyera. «Cuando existe una vulnerabilidad en el núcleo de LangChain, no solo afecta a los usuarios directos. Se propaga a través de cada biblioteca posterior, cada contenedor, cada integración que hereda la ruta del código vulnerable».

Organizaciones de alto valor ubicadas en el sur, sudeste y este de Asia han sido atacadas por un actor de amenazas chino como parte de una campaña de años.

La actividad, que se ha dirigido a los sectores de aviación, energía, gobierno, aplicación de la ley, farmacéutica, tecnología y telecomunicaciones, ha sido atribuida por la Unidad 42 de Palo Alto Networks a un grupo de actividad de amenazas previamente indocumentado denominado CL-UNK-1068donde «CL» se refiere a «clúster» y «UNK» significa motivación desconocida.

Sin embargo, el proveedor de seguridad ha evaluado con «confianza moderada a alta» que el objetivo principal de la campaña es el ciberespionaje.

«Nuestro análisis revela un conjunto de herramientas multifacético que incluye malware personalizado, utilidades de código abierto modificadas y binarios que viven de la tierra (LOLBIN)», investigador de seguridad Tom Fakterman. dicho. «Estos proporcionan una manera simple y efectiva para que los atacantes mantengan una presencia persistente dentro de los entornos objetivo».

Las herramientas están diseñadas para atacar entornos Windows y Linux, y el adversario se basa en una combinación de utilidades de código abierto y familias de malware como Godzilla, ANTSWORD, Xnote y Fast Reverse Proxy (FRP), todas las cuales han sido utilizadas por varios grupos de hackers chinos.

Si bien tanto Godzilla como ANTSWORD funcionan como shells web, Xnote es una puerta trasera de Linux que ha sido detectado en la naturaleza desde 2015 y ha sido desplegado por un colectivo adversario conocido como Berberoka de la Tierra (también conocido como GamblingPuppet) en ataques dirigidos a sitios de apuestas en línea.

Las cadenas de ataques típicas implican la explotación de servidores web para entregar shells web y moverse lateralmente a otros hosts, seguido de intentos de robar archivos que coinciden con ciertas extensiones («web.config», «.aspx», «.asmx», «.asax» y «.dll») del directorio «c:\inetpub\wwwroot» de un servidor web de Windows, probablemente en un intento de robar credenciales o descubrir vulnerabilidades.

Otros archivos recopilados por CL-UNK-1068 incluyen el historial y los marcadores del navegador web, archivos XLSX y CSV de escritorios y directorios de USUARIOS, y archivos de respaldo de bases de datos (.bak) de servidores MS-SQL.

En un giro interesante, se ha observado que los actores de amenazas usan WinRAR para archivar los archivos relevantes, codifican los archivos en Base64 ejecutando el comando certutil -encode y luego ejecutan el comando type para imprimir el contenido Base64 en su pantalla a través del shell web.

«Al codificar los archivos como texto e imprimirlos en su pantalla, los atacantes pudieron exfiltrar datos sin cargar ningún archivo», dijo la Unidad 42. «Los atacantes probablemente eligieron este método porque el shell del host les permitía ejecutar comandos y ver la salida, pero no transferir archivos directamente».

Una de las técnicas empleadas en estos ataques es el uso de ejecutables legítimos de Python («python.exe» y «pythonw.exe») para lanzar ataques de carga lateral de DLL y ejecutar de forma sigilosa archivos DLL maliciosos, incluido FRP para acceso persistente. ImprimirSpoofery un escáner personalizado basado en Go llamado ScanPortPlus.

También se dice que CL-UNK-1068 participó en esfuerzos de reconocimiento utilizando una herramienta .NET personalizada llamada SuperDump ya en 2020. Las intrusiones recientes han pasado a un nuevo método que utiliza scripts por lotes para recopilar información del host y mapear el entorno local.

El adversario también utiliza una amplia gama de herramientas para facilitar el robo de credenciales:

«Utilizando principalmente herramientas de código abierto, malware compartido por la comunidad y secuencias de comandos por lotes, el grupo ha mantenido con éxito operaciones sigilosas mientras se infiltraba en organizaciones críticas», concluyó la Unidad 42.

«Este grupo de actividad demuestra versatilidad al operar en entornos Windows y Linux, utilizando diferentes versiones de su conjunto de herramientas para cada sistema operativo. Si bien el enfoque en el robo de credenciales y la exfiltración de datos confidenciales de infraestructura crítica y sectores gubernamentales sugiere fuertemente un motivo de espionaje, todavía no podemos descartar por completo intenciones cibercriminales».