CVE-2025-34291 Langflow : RCE CVSS 9.4, KEV CISA

Les faits

Langflow est une plateforme open source de type no-code/low-code conçue pour la construction de pipelines d'intelligence artificielle. Développée en Python et acquise par DataStax, elle permet aux équipes métier et techniques de créer des workflows complexes intégrant des grands modèles de langage — GPT-4o, Claude Sonnet, Gemini Flash, Mistral — sans compétences avancées en développement. En 2026, Langflow est devenu un standard de facto dans les projets de RAG (Retrieval Augmented Generation), d'automatisation documentaire et d'agents conversationnels d'entreprise. L'image Docker officielle dépasse les 10 millions de pulls sur Docker Hub, ce qui illustre l'ampleur du déploiement mondial.

Le 21 mai 2026, la CISA américaine a ajouté CVE-2025-34291 à son catalogue Known Exploited Vulnerabilities (KEV). Cette inscription confirme une exploitation active dans la nature. La deadline de remédiation imposée aux agences fédérales américaines (FCEB) est fixée au 4 juin 2026 — soit la date de publication de cet article. Pour toute organisation sous contrat fédéral américain ou soumise à FedRAMP, la non-remédiation expose à des sanctions contractuelles immédiates.

CVE-2025-34291 est classifiée sous CWE-346 (Origin Validation Error). La faille réside dans la gestion des requêtes cross-origin par Langflow. Un attaquant contrôlant une page web malveillante peut amener un utilisateur authentifié à la visiter, puis déclencher des requêtes cross-origin portant les credentials de la victime vers l'instance Langflow. Sans validation correcte de l'origine, la plateforme traite ces requêtes comme légitimes, aboutissant à l'exécution de code arbitraire côté serveur et à la compromission totale du système hôte. Le score CVSS 9.4 résulte de la faible complexité d'exploitation combinée à un impact maximal sur la confidentialité, l'intégrité et la disponibilité.

CVE-2025-34291 s'inscrit dans une série alarmante : CVE-2026-33017 (CVSS 9.3 à 9.8 selon les évaluateurs) cible l'endpoint public de build de flow. L'attaquant envoie une requête POST à /api/v1/build/{flow_id}/public_tmp avec du code Python arbitraire, transmis directement à la fonction exec() sans aucun sandboxing. Documenté par les équipes de Sonicwall, ce vecteur a été exploité dans les 20 heures suivant sa divulgation publique le 17 mars 2026. CVE-2026-33309 atteint quant à elle le score maximal CVSS 10.0.

IBM a publié un bulletin de sécurité confirmant l'impact sur ses propres solutions intégrant Langflow OSS. La fonction validate_code est explicitement mentionnée comme vecteur supplémentaire permettant une exécution de code authentifiée, abaissant le seuil d'exploitation pour les attaquants ayant compromis un compte utilisateur sur la plateforme.

La surface d'exposition est considérable. Des scans Shodan et Censys réalisés par plusieurs chercheurs ont identifié des instances Langflow exposées directement sur Internet dans plus de 40 pays, dont la France. Les secteurs les plus représentés : cabinets de conseil, éditeurs logiciels, banques et assurances ayant déployé des solutions RAG internes, équipes de data science d'ETI et de grands groupes.

Pour les organisations dans des environnements régulés, les implications dépassent la simple remédiation technique. Sous NIS2, une exploitation confirmée de CVE-2025-34291 constitue un incident significatif nécessitant une notification initiale à l'ANSSI dans les 24 heures. Sous DORA, pour les entités financières, le délai tombe à 4 heures. La règle de détection Sigma publiée par SOCPrime permet aux équipes SOC d'identifier des patterns d'exploitation dans les logs Langflow.

Impact et exposition

Toutes les instances Langflow antérieures à la version 1.8.x sont exposées. L'exposition est maximale pour les instances accessibles depuis Internet. Les environnements Kubernetes sans NetworkPolicy sont également concernés. Les utilisateurs de Langflow Cloud hébergé par DataStax bénéficient d'un patch automatique — seules les instances self-hosted sont directement exposées. Une instance compromise donne accès aux clés API LLM stockées dans les flows (OpenAI, Anthropic, Google — valeur économique directe), aux bases vectorielles connectées, et à tout système interne accessible depuis le serveur hôte.

Recommandations

• Immédiat (J+0) : mettre à jour Langflow vers la version 1.8.x ou supérieure — pip install --upgrade langflow ou mise à jour de l'image Docker
• Isoler toutes les instances Langflow derrière un VPN ou restreindre l'accès aux seuls réseaux de confiance via des règles de firewall
• Désactiver les flows publics (LANGFLOW_PUBLIC_FLOW_ALLOW=false) si non indispensables
• Auditer les logs pour des requêtes POST anormales vers /api/v1/build/ et /api/v1/validate/code depuis des IP externes
• Évaluer si une notification d'incident est requise sous NIS2 ou DORA et informer le RSSI