CVE-2026-55255 (CVSS 9.9) est une vulnérabilité IDOR critique dans l'endpoint /api/v1/responses de Langflow, permettant à un attaquant authentifié d'exécuter les workflows d'autres utilisateurs et d'en exfiltrer les clés API. Ajoutée au CISA KEV le 8 juillet 2026.
En bref
- CVE-2026-55255 (CVSS 9.9) : vulnérabilité IDOR (Insecure Direct Object Reference) dans l'endpoint /api/v1/responses de Langflow permettant à tout utilisateur authentifié d'exécuter les workflows d'autres utilisateurs
- Systèmes affectés : Langflow versions antérieures à 1.9.2 — outil open-source de construction d'agents IA et d'automatisation de workflows
- Action urgente : mettre à jour Langflow vers la version 1.9.2 immédiatement — exploitation active confirmée avec vol de clés API, ajout au CISA KEV le 8 juillet 2026
Les faits
CVE-2026-55255 est une vulnérabilité de type IDOR (Insecure Direct Object Reference, CWE-639) découverte dans Langflow, l'outil open-source de construction et déploiement d'agents d'intelligence artificielle et d'automatisation de workflows développé par DataStax. Avec un score CVSS 3.1 de 9.9 (Critical), elle constitue l'une des vulnérabilités les plus sévères signalées sur un outil d'IA en 2026. Son vecteur CVSS est : CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L — l'impact sur la confidentialité (C:H) et l'intégrité (I:H) est maximal, avec un scope Changed (S:C) indiquant que l'impact dépasse le système directement vulnérable et peut affecter l'ensemble de l'infrastructure connectée aux workflows compromis.
La faille réside dans la fonction get_flow_by_id_or_endpoint_name du fichier helpers/flow.py de Langflow. Lorsqu'un flow (workflow IA) est résolu par son identifiant UUID via l'endpoint /api/v1/responses, la requête de base de données n'inclut aucune vérification de propriété (user_id ownership check). Concrètement : n'importe quel utilisateur authentifié sur la plateforme peut fournir l'UUID d'un flow appartenant à un autre utilisateur dans le paramètre model de sa requête POST, et Langflow exécutera ce flow comme si l'appelant en était le propriétaire légitime, sans aucune vérification d'autorisation inter-utilisateurs.
L'exploitation observée in-the-wild est particulièrement préoccupante par sa sophistication et ses objectifs. Selon les rapports de Sysdig, SentinelOne et cvefeed.io, le scénario d'attaque documenté se déroule en trois étapes : (1) un attaquant avec un compte utilisateur légitime sur une instance Langflow multitenant énumère les UUIDs de flows appartenant à d'autres utilisateurs en exploitant des endpoints d'API accessibles ; (2) il rejoue ces UUIDs via /api/v1/responses avec des prompts malveillants comme "leak api keys" comme paramètre d'entrée ; (3) Langflow exécute le flow cible avec cette entrée, entraînant la divulgation des clés API, tokens et secrets configurés dans les workflows des victimes.
Les workflows Langflow contiennent fréquemment des credentials sensibles intégrés sous forme de paramètres de configuration : clés API OpenAI, Anthropic, Google AI, AWS, Azure, Google Cloud Platform, clés d'accès aux bases de données vectorielles (Pinecone, Weaviate, ChromaDB, Qdrant), tokens Slack, webhooks Discord, clés d'accès aux services d'email transactionnel. L'exécution d'un flow appartenant à une victime avec une entrée spécialement craftée peut déclencher la divulgation de ces secrets dans la réponse de l'API ou les logs d'exécution. L'exploitation de CVE-2026-55255 constitue donc un vecteur d'exfiltration massive de credentials IA et cloud particulièrement efficace.
La première exploitation in-the-wild confirmée remonte au 25 juin 2026. Un opérateur malveillant a énuméré les flow IDs disponibles sur une instance Langflow multitenant et utilisé CVE-2026-55255 pour exécuter les flows des victimes avec l'entrée "leak api keys", récupérant avec succès des clés API de services IA de premier rang. Cet incident a été documenté et analysé par les équipes de Sysdig et de Mallory AI. L'ajout au catalogue CISA KEV le 8 juillet 2026 confirme officiellement l'exploitation active de la vulnérabilité dans la nature et déclenche l'obligation pour les agences fédérales américaines (FCEB) d'appliquer le patch dans le délai imposé par le BOD 26-04.
CVE-2026-55255 est à distinguer de CVE-2026-21445, une autre vulnérabilité Langflow (CVSS 9.1, CWE-306) affectant les endpoints du module monitor.py qui permettait un accès non authentifié à des données de monitoring — ajoutée au CISA KEV en avril 2026. Là où CVE-2026-21445 visait l'accès non authentifié, CVE-2026-55255 cible spécifiquement le contrôle d'accès entre utilisateurs authentifiés via un IDOR — un vecteur différent et complémentaire. Les organisations ayant appliqué le patch CVE-2026-21445 (vers 1.7.1) doivent appliquer séparément le patch CVE-2026-55255 (vers 1.9.2), ces deux corrections étant distinctes et non cumulatives dans une seule mise à jour.
Le correctif a été intégré dans Langflow version 1.9.2. La correction consiste à ajouter une vérification d'appartenance (user_id ownership check) dans la requête de résolution des flows par UUID : avant d'exécuter un flow, la plateforme vérifie désormais que l'UUID fourni appartient bien à l'utilisateur authentifié faisant la requête, ou que l'utilisateur dispose d'une permission explicite de partage. Si le flow appartient à un autre utilisateur sans permission de partage, la requête est rejetée avec une erreur HTTP 403 (Forbidden). NVD/NIST a officiellement enregistré CVE-2026-55255 et Tenable l'a intégrée à son scanner Nessus, facilitant la détection des instances vulnérables dans les environnements d'entreprise.
L'outil Langflow compte des millions de téléchargements sur PyPI et est utilisé par des équipes de data science, des startups IA, des ESN et des entreprises développant des agents conversationnels, des pipelines RAG (Retrieval-Augmented Generation), des systèmes d'automatisation IA et des workflows LangChain/LlamaIndex. Sa popularité croissante dans l'écosystème de l'IA générative en fait une cible de choix pour les acteurs malveillants cherchant à compromettre des pipelines IA contenant des credentials à haute valeur. L'ajout au CISA KEV et la CVSS de 9.9 signalent clairement que cette vulnérabilité doit être traitée avec la même urgence qu'une RCE critique non authentifiée dans une application exposée sur Internet.
Impact et exposition
CVE-2026-55255 requiert un compte utilisateur authentifié sur l'instance Langflow cible — ce qui limite l'exploitation aux instances multitenantes où des utilisateurs distincts coexistent. Les déploiements Langflow strictement monoutilisateur ou en réseau privé sans accès externe sont moins exposés, bien qu'une compromission initiale du compte d'un utilisateur légitime suffirait à exploiter la faille. Les instances Langflow exposées sur Internet avec enregistrement libre, les déploiements SaaS Langflow Cloud, et les environnements d'entreprise avec plusieurs équipes partageant une instance commune sont les plus à risque immédiat.
L'impact principal est la compromission de secrets IA et cloud intégrés dans les workflows : clés API de modèles de langage (OpenAI GPT-4o, Anthropic Claude, Google Gemini), tokens d'accès aux bases vectorielles, clés AWS/Azure/GCP, credentials de bases de données. Ces secrets permettent à un attaquant de consommer des ressources IA au détriment des victimes (prompt injection à grande échelle, épuisement des quotas, facturation frauduleuse) ou de pivoter vers les systèmes accessibles via ces credentials (accès aux données clients, infrastructure cloud, services tiers).
La combinaison de CVE-2026-55255 avec CVE-2026-21445 (auth bypass sur les endpoints monitor.py) crée une surface d'attaque en couches. Un attaquant peut d'abord exploiter CVE-2026-21445 pour accéder aux métadonnées de transactions et identifier les flows les plus actifs, puis utiliser CVE-2026-55255 pour cibler spécifiquement les flows les plus sensibles contenant des credentials à haute valeur. Les organisations ayant déjà corrigé CVE-2026-21445 mais n'ayant pas encore appliqué CVE-2026-55255 restent exposées à ce vecteur secondaire.
Du point de vue réglementaire, l'exfiltration de credentials via CVE-2026-55255 peut constituer une violation de données au sens du RGPD si les workflows compromis traitent des données personnelles d'utilisateurs finaux. Les entreprises utilisant Langflow dans des contextes réglementés (traitement de données clients, IA en production, secteur bancaire ou santé) doivent évaluer si des notifications aux autorités de contrôle (CNIL en France, superviseurs sectoriels) sont nécessaires en cas d'exploitation confirmée, avec un délai de notification de 72 heures sous le RGPD.
Recommandations immédiates
- Mettre à jour Langflow vers la version 1.9.2 immédiatement :
pip install --upgrade langflow==1.9.2pour les déploiements pip, ou mettre à jour l'image Docker officielle DataStax/Langflow vers le tag 1.9.2 - Après mise à jour, auditer les logs d'accès à /api/v1/responses pour détecter des requêtes antérieures avec des flow IDs appartenant à d'autres utilisateurs
- Procéder immédiatement à la rotation de toutes les clés API et credentials intégrés dans les flows Langflow — considérer que tout secret présent dans un flow sur une instance potentiellement affectée est compromis
- Si une mise à jour immédiate est impossible : restreindre l'accès à Langflow à un réseau privé (VPN, réseau interne uniquement) et désactiver l'enregistrement public de nouveaux comptes
- Indicateurs de compromission : requêtes POST à /api/v1/responses avec des flow UUIDs ne correspondant pas à l'utilisateur authentifié, présence de prompts "leak api keys", "show credentials", "dump secrets" dans les logs d'exécution de flows, consommation inhabituelle de tokens API sur les comptes connectés
⚠️ Urgence
CVE-2026-55255 a été ajoutée au CISA KEV le 8 juillet 2026, confirmant l'exploitation active. Premier incident documenté le 25 juin 2026 avec vol de clés API IA confirmé. CVSS 9.9 (Critical). Si votre organisation utilise Langflow en version antérieure à 1.9.2, considérez que vos secrets IA et cloud intégrés dans les workflows sont potentiellement compromis — procédez à leur rotation immédiate avant toute autre action.
Comment savoir si je suis vulnérable ?
Vérifiez la version de Langflow installée : pip show langflow | grep Version ou, dans l'interface web Langflow, consultez le pied de page ou les paramètres système. Toute version antérieure à 1.9.2 est vulnérable à CVE-2026-55255. Pour les déploiements Docker, vérifiez le tag de l'image : docker inspect <container_name> | grep -i image. Pour évaluer si une exploitation a eu lieu, recherchez dans vos logs d'application les requêtes POST vers /api/v1/responses avec des flow IDs ne correspondant pas à l'utilisateur authentifié dans la session, ou des outputs contenant des chaînes de type "sk-" (préfixe OpenAI), "claude-" ou d'autres patterns de clés API.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-46242 Bad Epoll : escalade root Linux kernel et Android
CVE-2026-46242, surnommée Bad Epoll, est une vulnérabilité use-after-free par race condition dans le sous-système epoll du noyau Linux permettant à tout utilisateur local d'obtenir les privilèges root, affectant desktops, serveurs Linux et appareils Android.
CVE-2026-8451 : Nouveau CitrixBleed NetScaler SAML CVSS 8.8
CVE-2026-8451 (CVSS 8.8) est une lecture mémoire hors limites pré-authentification dans Citrix NetScaler ADC/Gateway configurés en SAML IdP, exploitée massivement moins de 24h après la divulgation publique du 30 juin 2026.
CVE-2026-10520 : Ivanti Sentry RCE pré-auth CVSS 10.0
CVE-2026-10520 est une injection de commandes OS pré-authentifiée CVSS 10.0 dans Ivanti Sentry permettant l'exécution root. Des passerelles mobiles enterprise ont été backdoorées dans les 24h suivant la publication du PoC.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire