Investigadores de ciberseguridad han revelado tres vulnerabilidades de seguridad que afectan a LangChain y LangGraph, las cuales podrían ser explotadas para exponer datos del sistema de archivos, secretos de entorno y el historial de conversaciones. Ambos son frameworks de código abierto utilizados para construir aplicaciones basadas en modelos de lenguaje grandes (LLM). LangGraph se basa en LangChain para flujos de trabajo agentivos más complejos y no lineales. Según estadísticas del Python Package Index (PyPI), LangChain, LangChain-Core y LangGraph han sido descargados más de 52 millones, 23 millones y 9 millones de veces solo la semana pasada.
"Cada vulnerabilidad expone una clase diferente de datos empresariales: archivos del sistema, secretos de entorno e historial de conversaciones", afirmó Vladimir Tokarev, investigador de seguridad de Cyera, en un informe publicado el jueves. Los problemas ofrecen tres vías independientes que un atacante puede aprovechar para extraer datos sensibles de cualquier implementación empresarial de LangChain.
- CVE-2026-34070 (puntuación CVSS: 7.5): Vulnerabilidad de path traversal en LangChain que permite acceder a archivos arbitrarios sin validación mediante su API de carga de prompts.
- CVE-2025-68664 (puntuación CVSS: 9.3): Vulnerabilidad de deserialización de datos no confiables en LangChain que filtra claves API y secretos de entorno.
- CVE-2025-67644 (puntuación CVSS: 7.3): Vulnerabilidad de inyección SQL en la implementación de checkpoint SQLite de LangGraph que permite manipular consultas SQL.
La explotación exitosa de estas fallas podría permitir a un atacante leer archivos sensibles como configuraciones de Docker, extraer secretos mediante inyección de prompts y acceder a historiales de conversaciones asociados con flujos de trabajo sensibles. Cabe destacar que los detalles de CVE-2025-68664 también fueron compartidos por Cyata en diciembre de 2025, bajo el criptónimo LangGrinch. Las vulnerabilidades han sido parcheadas en las siguientes versiones: langchain-core >=1.2.22 para CVE-2026-34070; langchain-core 0.3.81 y 1.2.5 para CVE-2025-68664; y langgraph-checkpoint-sqlite 3.0.1 para CVE-2025-67644.
Estos hallazgos subrayan una vez más que la infraestructura de inteligencia artificial no es inmune a las vulnerabilidades de seguridad clásicas, lo que potencialmente pone en riesgo sistemas enteros. La noticia llega días después de que una falla crítica en Langflow (CVE-2026-33017, puntuación CVSS: 9.3) comenzara a ser explotada activamente en menos de 20 horas de su divulgación pública, permitiendo a los atacantes extraer datos sensibles de entornos de desarrolladores. Naveen Sunkavally, arquitecto jefe de Horizon3.ai, señaló que la vulnerabilidad comparte la misma causa raíz que CVE-2025-3248, y se origina en endpoints no autenticados que ejecutan código arbitrario. Dado que los actores de amenazas se mueven rápidamente para explotar fallas recién divulgadas, es esencial que los usuarios apliquen los parches lo antes posible para una protección óptima.
LangChain no existe de forma aislada. Se encuentra en el centro de una enorme red de dependencias que se extiende a lo largo de la pila de IA. Cientos de bibliotecas envuelven a LangChain, lo extienden o dependen de él. Cuando existe una vulnerabilidad en el núcleo de LangChain, no solo afecta a los usuarios directos. Se propaga hacia afuera a través de cada biblioteca downstream, cada envoltorio, cada integración que hereda la ruta de código vulnerable.
