Les entreprises utilisant la plateforme open source de développement IA Langflow sont invitées à corriger sans délai une faille de type traversée de type traversée de répertoire (path traversal) à haut risque. Actuellement exploitée, cette vulnérabilité a été référencée en tant que CVE-2026-5027 (score CVSS 8,8) bénéficie pourtant d’un correctif depuis plus de deux mois. Sa dangerosité résulte d'une gestion incorrecte des noms de fichiers dans la fonctionnalité de téléchargement de Langflow, donnant à des pirates une capacité d’écriture de fichiers dans des emplacements arbitraires. Sous certaines conditions, son exploitation débouche sur de l’exécution de code à distance (RCE).
Pour ne rien arranger, l'outil est livré avec une fonctionnalité de connexion automatique, permettant à des utilisateurs non authentifiés disposant d'une session valide d'accéder à un terminal vulnérable sans identifiants. « Langflow est un outil open source populaire pour créer des applications IA », a indiqué Jim Sherlock, vice-président de la R&D en cybersécurité chez ProCircular. « Comme la plateforme est livrée avec une connexion désactivée par défaut, l'exploitation ne nécessite qu'une seule requête sans identifiants, ce qui permet de prendre le contrôle total de la machine. » Selon l'organisation à but non lucratif Cloud Security Alliance (CSA), spécialisée dans la sécurité du cloud, environ 7 000 instances de Langflow sont exposées sur Internet et donc potentiellement à risque si le correctif n’a pas été appliqué.
Un grave problème de sécurité
Le framework est une plateforme low-code très prisée pour créer des agents IA, des pipelines RAG et des workflows basés sur model context protocol (MCP) via une interface de type glisser-déposer. Cette popularité ne fait qu’accroître les inquiétudes concernant cette vulnérabilité affectant le point de terminaison API POST /api/v2/files. Ce dernier ne valide pas correctement le paramètre « filename » fournit via les « données de formulaire multipart », donnant la capacité à des attaquants d'inclure des séquences de traversée de chemin telles que « ../ » et d'écrire des fichiers en dehors du répertoire de téléchargement prévu, vers un emplacement contrôlé par l'attaquant. À l'aide d'un PoC d’exploit disponible sur Github, EQST Lab a démontré comment cette faille peut être exploitée pour placer des fichiers contrôlés par l'attaquant à des emplacements arbitraires du système de fichiers. Ses chercheurs ont indiqué que dans les environnements où la connexion automatique est activée, l'écriture arbitraire de fichiers peut être exploitée pour de l'exécution de code à distance.
« Les failles permettant l'écriture arbitraire de fichiers sont souvent plus graves que les problèmes classiques liés au téléchargement sans restriction, car l'attaquant contrôle non seulement le contenu du fichier, mais aussi le chemin de destination », ont déclaré les chercheurs d'EQST dans la note de leur PoC. « En fonction des privilèges d'exécution du processus Langflow, cela peut permettre la réécriture de fichiers d'application, la modification de fichiers de démarrage ou de tâches planifiées, la persistance via l'initialisation du shell ou des fichiers de clés, ainsi que l'escalade de l'écriture arbitraire de fichiers vers l'exécution de code à distance. » Ce problème affecte les versions de Langflow jusqu'à la version 1.8.4, tandis que les chercheurs ont indiqué que le souci avait été corrigé dans la version 1.9.0, publiée le 15 avril dernier, soit 73 jours après la première notification de la faille au fournisseur. Le correctif a été appliqué à toutes les versions ultérieures, y compris la version actuelle 1.10.0. Langflow n'a pas immédiatement répondu à la demande de commentaires de CSO.
Les plateformes de développement IA sous le feu des pirates
Cette révélation intervient alors que les pirates s'intéressent de plus en plus aux infrastructures IA. VulnCheck a confirmé que la CVE-2026-5027 est déjà exploitée, avec notamment des tentatives d'injection de fichiers détectées sur des systèmes vulnérables. La mise à disposition publique du code d'exploitation a encore abaissé la barrière d'accès pour des pirates opportunistes. L'exploitation de cette CVE-2026-5027 a été associée au groupe iranien soutenu par l'État connu sous le nom de MuddyWater. Jim Sherlock a déclaré que de nombreuses entreprises avaient, sans le savoir, élargi leur surface d'attaque en déployant rapidement des outils IA. « Jusqu'en 2025, partout, des équipes ont mis en place Langflow, Flowise, n8n, Dify et d'autres outils low-code similaires pour prototyper des agents et des workflows LLM », a-t-il ajouté. « Ces déploiements ont rarement bénéficié du renforcement de sécurité dont bénéficierait une application web de production. Ils fonctionnent avec des paramètres d’authentification par défaut et reposent sur des adresses IP publiques. »
Ce n’est pas la première fois que LangChain est vulnérable à des failles. Cela avait été déjà le cas en décembre et en mars dernier. Plus récemment, des chercheurs ont par ailleurs aussi découvert un bug grave affectant l’implémentation du serveur MCP de Flowise débouchant sur une RCE via l’exploitation de configurations spécialement conçues.
Commentaire