关键信息 漏洞概述 漏洞类型: SQL注入 影响版本: <=2.0.10 修复版本: 2.0.11 CVE ID: CVE-2025-64104 CVSS v3 基本指标: - 严重性: 高 (7.3/10) - 攻击向量: 本地 - 攻击复杂度: 低 - 所需权限: 低 - 用户交互: 无 - 范围: 变更 - 机密性: 高 - 完整性: 低 - 可用性: 无 影响范围 受影响的包: langgraph-checkpoint-sqlite (pip) 受影响的用户: 直接使用 存储的开发者或项目 漏洞细节 问题描述: LangGraph 的 SQLite 存储实现中存在 SQL 注入漏洞,由于直接字符串拼接而未进行适当参数化,允许攻击者注入任意 SQL 并绕过访问控制。 关键代码片段: 影响条件 应用程序仅在以下情况下易受攻击: 1. 实例化了 。 2. 使用来自不可信或用户提供的输入(如查询参数、请求体或其他外部数据)构建 参数。 PoC (概念验证) 提供了完整的代码示例,包括具体配置细节,以重现漏洞。