CVE-2026-33017 affecte Langflow ≤ 1.8.1 avec un score CVSS 9.3 : exécution de code Python sans authentification via l'API publique. La CISA a inscrit la faille au catalogue KEV le 25 mars 2026, après exploitation active détectée 20 heures après la divulgation.
En bref
- CVE-2026-33017 : injection de code Python non authentifiée dans Langflow, CVSS 9.3, exploitation active confirmée dès H+20 après l'advisory
- Versions affectées : Langflow ≤ 1.8.1 — l'endpoint
/api/v1/build_public_tmp/*/flowexpose un RCE sans authentification - Action requise : mise à jour immédiate vers Langflow 1.9.0, isolation réseau, rotation de toutes les clés API et credentials
Les faits
Le 25 mars 2026, la CISA a inscrit CVE-2026-33017 dans son catalogue Known Exploited Vulnerabilities (KEV), confirmant une exploitation active observée dès le 18 mars — soit seulement 20 heures après la publication de l'advisory GitHub (GHSA-vwmf-pq79-vjvx, 17 mars 2026 à 20h05 UTC). Langflow est un framework open-source de construction de pipelines d'IA comptant plus de 145 000 étoiles GitHub, massivement déployé dans des environnements d'entreprise pour orchestrer des agents LLM, des workflows RAG et des chaînes d'appels à des modèles de langage. La faille réside dans l'endpoint public POST /api/v1/build_public_tmp/{flow_id}/flow, qui accepte des définitions de nœuds contenant du code Python arbitraire exécuté côté serveur sans sandbox ni vérification d'authentification. Toutes les versions jusqu'à 1.8.1 incluse sont concernées. Cette vulnérabilité illustre la tendance documentée d'une réduction dramatique du délai entre divulgation et exploitation active, passé à quelques heures pour les failles critiques touchant des outils populaires.
- Contexte et chronologie des événements
- Impact sur l'écosystème cybersécurité
- Leçons apprises et recommandations
- Perspectives et évolutions attendues
L'équipe Sysdig TRT a documenté la timeline complète : à H+20, des scans automatisés depuis quatre adresses IP distinctes ont été détectés avec des templates Nuclei privés. À H+21, des scripts Python custom ciblaient l'endpoint vulnérable via des requêtes python-requests/2.32.3. À H+24, les attaquants collectaient des credentials : contenu de /etc/passwd, variables d'environnement, fichiers .env et bases SQLite des instances Langflow. À H+30, une exfiltration de données vers un C2 hébergé sur 143.110.183.86:8080 était confirmée, accompagnée d'un dropper secondaire servi depuis 173.212.205.251:8443. Les IOCs répertoriés incluent des adresses en Allemagne, Singapour, France (205.237.106.117) et Pays-Bas. La directive BOD 22-01 impose aux agences fédérales américaines un patch ou mitigation avant le 8 avril 2026. Les risques pour la chaîne d'approvisionnement IA sont analogues à ceux documentés pour les attaques sur les packages PyPI ciblant les outils LLM.
Impact et exposition
Langflow est exposé massivement dans des environnements cloud (AWS, GCP, Azure) et des espaces Hugging Face. Toute instance accessible depuis internet avec une version ≤ 1.8.1 est compromettable sans authentification préalable. L'attaquant obtient un shell avec les permissions du processus Langflow, lui permettant d'exfiltrer l'ensemble des clés API stockées dans les fichiers de configuration — tokens OpenAI, Anthropic, AWS Bedrock, HuggingFace et credentials de bases de données. Dans les déploiements d'entreprise, cela expose les pipelines d'IA en production, les données traitées et potentiellement les systèmes en aval accessibles depuis le contexte réseau du serveur compromis. Les agents IA autonomes déployés avec des accès étendus représentent une surface particulièrement sensible, comme l'analyse l'intégration sécurisée des agents IA en entreprise. Le vecteur de persistance post-exploitation rejoint les techniques furtives documentées comme GlassWorm utilisant Solana comme infrastructure C2 pour maintenir un accès indétectable.
Recommandations
- Mise à jour immédiate vers Langflow 1.9.0 ou supérieur via
pip install --upgrade langflow - Blocage de l'endpoint vulnérable au niveau WAF ou reverse-proxy : refuser les requêtes POST sur
/api/v1/build_public_tmp/si la mise à jour est impossible à court terme - Retrait de l'exposition internet : aucune instance Langflow ne doit être accessible publiquement sans authentification forte et segmentation réseau
- Rotation immédiate de toutes les clés API (OpenAI, Anthropic, AWS Bedrock, HuggingFace), tokens de base de données et secrets présents dans les fichiers
.envdes instances potentiellement exposées - Investigation de compromission : analyser les logs d'accès pour des requêtes POST vers l'endpoint vulnérable, notamment depuis les IOCs listés
- Threat hunting : rechercher des connexions sortantes vers
143.110.183.86et173.212.205.251dans les logs réseau
Alerte critique
CVE-2026-33017 est exploitée activement depuis le 18 mars 2026 sans authentification requise. Si vous opérez un serveur Langflow exposé sur internet avec une version ≤ 1.8.1, considérez l'instance comme potentiellement compromise : isolez-la immédiatement, rotez vos secrets et analysez vos logs avant toute autre action.
Comment savoir si mon instance Langflow a été compromise via CVE-2026-33017 ?
Analysez vos logs d'accès web pour des requêtes POST vers /api/v1/build_public_tmp/ depuis des IPs inconnues. Vérifiez les connexions réseau sortantes vers 143.110.183.86:8080 et 173.212.205.251:8443. Contrôlez les processus enfants de Langflow (appels os.popen, subprocess) dans les logs système. Si des clés API sont stockées dans des fichiers .env ou des bases SQLite accessibles au processus Langflow, révoquez-les immédiatement même en l'absence de preuves formelles de compromission — le coût d'une rotation préventive est sans commune mesure avec celui d'une compromission non détectée.
Article suivant recommandé
Qilin cible Malaysia Airlines : données passagers volées →Le groupe Qilin ransomware revendique une intrusion dans les systèmes de Malaysia Airlines, exposant potentiellement dos
Points clés à retenir
- Contexte : CVE-2026-33017 Langflow : RCE non authentifié exploité — un sujet critique pour la cybersécurité des organisations
- Impact : Les risques identifiés peuvent compromettre la confidentialité, l'intégrité et la disponibilité des systèmes
- Action recommandée : Évaluer votre exposition et mettre en place les contrôles de sécurité appropriés
Articles connexes
Comment renforcer la cybersécurité de votre organisation ?
Le renforcement passe par une évaluation des risques, la mise en place de contrôles techniques (pare-feu, EDR, SIEM), la formation des collaborateurs, des audits réguliers et l'adoption de frameworks reconnus comme ISO 27001 ou NIST CSF.
Pourquoi la cybersécurité est-elle un enjeu stratégique en 2026 ?
Avec l'augmentation de 45% des cyberattaques en 2025, la cybersécurité est devenue un enjeu de survie pour les organisations. Les réglementations (NIS2, DORA, AI Act) imposent des obligations strictes et les conséquences financières d'une compromission peuvent atteindre plusieurs millions d'euros.
Quels sont les premiers pas pour sécuriser une infrastructure ?
Les premiers pas incluent l'inventaire des actifs, l'identification des vulnérabilités critiques, le déploiement du MFA, la segmentation réseau, la mise en place de sauvegardes testées et l'élaboration d'un plan de réponse à incident.
Conclusion
Face à l'évolution constante des menaces, une posture de sécurité proactive est indispensable. Les techniques et recommandations présentées dans cet article constituent des fondations solides pour renforcer la résilience de votre infrastructure.
Besoin d'un accompagnement expert en cybersécurité ? Contactez Ayi NEDJIMI Consultants pour un audit personnalisé de votre infrastructure.
À lire également
Lectures recommandées
Surface d'attaque : Ensemble des points d'entrée exploitables par un attaquant pour compromettre un système, incluant les services exposés, les interfaces utilisateur et les API.
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-0625 : zero-day critique dans les routeurs D-Link EOL
CVE-2026-0625 : injection de commandes critique (CVSS 9.3) dans les routeurs D-Link DSL en fin de vie. Aucun correctif prévu, remplacement immédiat nécessaire.
GlassWorm : 72 extensions Open VSX piégées ciblent les développeurs
La campagne GlassWorm compromet 72 extensions Open VSX pour voler des credentials et tokens cloud. Plus de 9 millions d'installations et 151 dépôts GitHub affectés.
CVE-2026-5281 : zero-day Chrome WebGPU exploité activement
Google corrige CVE-2026-5281, un use-after-free dans Dawn (WebGPU) exploité activement. Quatrième zero-day Chrome de 2026, mise à jour critique requise immédiatement.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire