A peine dévoilée, une faille critique dans Langflow exploitée

Les pirates n'ont mis que quelques heures pour exploiter une faille RCE dans Langflow. La CISA l'a ajouté à son catalogue et a fixé une délai rapide pour l'application du correctif.

20 heures, le délai est relativement court pour l’exploitation d’une vulnérabilité dans le framework open source Langflow utilisé dans le développement des agents IA et des pipelines de RAG. Selon Sysdig, des cybercriminels ont commencé à attaquer un ensemble de nœuds honeypot hébergeant des instances vulnérables chez plusieurs fournisseurs de cloud et dans différentes régions dès leur mise en service. Le fournisseur a observé quatre tentatives de ce types dans les heures qui ont suivi le déploiement et l’un des attaquants est parvenu à exfiltrer des variables d’environnement.

« C’est tout à fait remarquable car aucun POC public n'existait sur GitHub au moment de la première attaque », ont déclaré les experts de Sysdig. « L'avis de sécurité lui-même contenait suffisamment de détails (le chemin d'accès au point de terminaison vulnérable et le mécanisme d'injection de code via les définitions des nœuds de flux) pour que les attaquants construisent un exploit fonctionnel sans recherche supplémentaire. » La CISA ( cybersecurity and infrastructure agency) a ajouté cette faille à son catalogue des vulnérabilités connues exploitées, exhortant les agences fédérales à corriger leurs systèmes avant le 8 avril 2026.

Un paramètre par défaut incriminé

Cette vulnérabilité, référencée CVE-2026-33017, provient d'un point de terminaison API exposé dans Langflow. Les attaquants profitent de cette exposition pour soumettre des données de workflow malveillantes contenant du code Python intégré. Au lieu d'utiliser des données fiables, l'application exécute ce code fourni par l'attaquant sans aucun sandboxing, ce qui conduit à l'exécution de code à distance non authentifiée sur les systèmes affectés, selon une description de la National Vulnerability Database (NVD), un référentiel officiel du gouvernement américain.

« Le point de terminaison build_public_tmp est conçu pour ne pas nécessiter d'authentification (pour les flux publics), mais il accepte à tort des données de flux fournies par l'attaquant contenant du code exécutable arbitraire », ajoute la description. « Elle diffère de la vulnérabilité CVE-2025-3248, qui a corrigé /api/v1/validate/code en ajoutant une authentification. » La faille d'injection de code affecte les versions de Langflow jusqu'à la version 1.8.2 (exclue) et a été corrigée dans la version 1.9.0. Elle a reçu un score CVSS critique de 9,3 sur 10, en raison de la simplicité de son exploitation « sans authentification », de sa surface d'attaque IA massive et de son impact élevé.

Des inquiétudes sur le rythme des exploits

Des activités d'exploitation ont été observées moins d'un jour après la divulgation publique de la vulnérabilité, ce qui, selon Sysdig, démontre l’intérêt des cybercriminels pour ce type de failles touchant les outils IA et leurs capacités (avec l’automatisation) à créer des exploits rapidement. « Les informations exfiltrées comprenaient des clés et des identifiants qui pouvaient accéder aux bases de données connectées et risquaient de compromettre la chaîne d'approvisionnement logicielle », ont fait remarquer les chercheurs de Sysdig. « Les fenêtres de correction s'amenuisant considérablement, la détection à l'exécution reste la principale et la seule option », a insisté le fournisseur. « Tous les attaquants de cette campagne ont suivi le même scénario post-exploitation : exécuter une commande shell via os.popen() de Python, puis exfiltrer la sortie via http », ont expliqué les chercheurs, ajoutant que les règles d'exécution peuvent détecter ces tentatives.

La détection à l'exécution peut être utile en intervenant dès le « jour zéro », ont ajouté les chercheurs. « Ces règles ne nécessitent pas de signature spécifique pour la faille CVE-2026-33017, car elles détectent le comportement d’exploitation, et non la vulnérabilité. Les mêmes règles se déclencheraient, que l’accès initial ait eu lieu via CVE-2026-33017, CVE-2025-3248 ou toute autre vulnérabilité RCE dans une application. » Sysdig a également partagé une liste d’indicateurs de compromission, comprenant les adresses IP sources des attaquants, les infrastructures C2 et de staging détectées, les URL des droppers et les domaines de callback Interactsh. L’entreprise recommande de passer immédiatement aux versions corrigées, de limiter l’exposition et de surveiller toute activité anormale, en précisant que les instances exposées doivent être considérées comme potentiellement compromises.