Langflow CVE-2026-5027 : RCE sur 7 000 serveurs IA

Une faille non patchée dans l'écosystème IA ciblée par des attaquants actifs

Depuis le 10 juin 2026, des attaquants exploitent activement CVE-2026-5027, une vulnérabilité de traversée de répertoire affectant Langflow dans toutes les versions jusqu'à la 1.8.4 incluse. La faille a été découverte et signalée par des chercheurs en sécurité avant qu'un correctif officiel complet soit disponible — une situation de zero-day ayant duré suffisamment longtemps pour que des acteurs malveillants développent et déploient des exploits fonctionnels. The Hacker News, BleepingComputer et SecurityWeek ont tous confirmé l'exploitation active dans leurs publications du 10 juin 2026, citant des observations provenant d'honeypots et de systèmes de détection industrielle dédiés.

Langflow est une plateforme open source développée par DataStax, qui avait acquis le projet en 2024. Elle propose une interface visuelle de type drag-and-drop permettant aux développeurs et data scientists de construire des agents IA, des workflows de génération augmentée par récupération (RAG) et des systèmes basés sur le Model Context Protocol (MCP) sans écrire de code bas niveau. En juin 2026, la plateforme compte plusieurs dizaines de milliers d'installations actives, notamment dans des environnements de startups IA, des équipes de prototypage, des laboratoires universitaires et des services métier d'entreprises ayant adopté rapidement les outils no-code. L'analyse Censys réalisée le 10 juin 2026 identifiait précisément 7 000 instances directement accessibles depuis l'internet public, représentant la surface d'attaque exposée.

Techniquement, la vulnérabilité réside dans le endpoint POST /api/v2/files. La fonction upload_user_file() transmet le paramètre file.filename directement au service de stockage interne sans aucune validation ni sanitisation de chemin. Un attaquant peut donc injecter des séquences de traversée de répertoire dans le nom du fichier pour écrire des données arbitraires dans n'importe quel répertoire accessible par le processus Langflow — qui, dans la grande majorité des déploiements par défaut, s'exécute avec des privilèges root ou équivalents. Snyk a catalogué la vulnérabilité sous l'identifiant SNYK-PYTHON-LANGFLOWBASE-15842030. Un PoC fonctionnel a été publié sur GitHub le 10 juin 2026 par le chercheur yahiahamza, précipitant la diffusion des exploits dans la communauté offensive.

L'exploitation devient particulièrement dévastatrice en raison d'une fonctionnalité de Langflow activée par défaut : l'auto-login. Cette option, destinée à faciliter les démonstrations et le prototypage local, permet d'obtenir un token de session valide via une simple requête HTTP non authentifiée. Un attaquant suit donc un scénario en deux étapes parfaitement automatisable : d'abord, une requête GET au endpoint d'authentification pour récupérer un token sans fournir de credentials ; ensuite, une requête POST /api/v2/files avec un nom de fichier contenant des séquences de traversée pointant vers /etc/cron.d/ ou /root/.ssh/ pour y écrire un payload malveillant et déclencher l'exécution de code.

Les vecteurs d'exploitation documentés dans les analyses techniques de BleepingComputer et SecurityWeek incluent trois méthodes principales : la persistance via cron jobs (écriture d'une tâche planifiée exécutant un reverse shell au prochain tick de cron), l'injection de clés SSH dans /root/.ssh/authorized_keys permettant une connexion persistante avec les droits root, et le dépôt de webshells dans les répertoires de fichiers statiques servis par l'application. Ces trois techniques permettent un accès persistant survivant aux redémarrages du service et sont difficiles à détecter sans monitoring système approfondi et collecte de logs d'intégrité fichiers.

Le contexte est aggravé par l'historique récent de la plateforme : CVE-2026-5027 n'est pas un incident isolé. Quatre vulnérabilités majeures ont frappé Langflow au cours des six derniers mois — CVE-2026-0770, CVE-2026-33017, CVE-2026-21445 et CVE-2025-34291. Ce cycle de vulnérabilités successives signale des problèmes architecturaux profonds dans la gestion des inputs utilisateurs et la surface d'attaque exposée par défaut. La posture de sécurité de Langflow est désormais sous examen rigoureux par les équipes de sécurité applicative qui évaluent son déploiement dans des pipelines de production ou des environnements multi-tenant.

La CISA a ajouté CVE-2026-5027 à son catalogue Known Exploited Vulnerabilities (KEV) le 10 juin 2026, ce qui impose aux agences fédérales américaines — en vertu de la BOD 26-04 publiée la même semaine — de traiter cette vulnérabilité dans un délai de 3 jours pour tout actif exposé sur internet. Pour les organisations du secteur privé, l'entrée dans le KEV constitue un signal d'alerte de premier ordre : les assureurs cyber intègrent désormais l'exposition aux vulnérabilités KEV non patchées dans leurs calculs de primes et certains contrats comportent des clauses d'exclusion pour les incidents liés à des CVE catalogués KEV lorsque la remédiation n'a pas été conduite dans les délais recommandés.

DataStax a publié le correctif sous la version 1.10.0 de Langflow, disponible via pip (pip install langflow==1.10.0) et via Docker Hub sous l'image langflowai/langflow:1.10.0. La mise à jour corrige la sanitisation du paramètre filename dans upload_user_file() en appliquant une normalisation canonique du chemin et en vérifiant que le fichier de destination reste dans le répertoire upload autorisé. DataStax recommande également de définir la variable d'environnement LANGFLOW_AUTO_LOGIN à false dans tout fichier .env ou configuration Docker Compose pour les instances accessibles depuis internet ou un réseau non totalement isolé, indépendamment de l'application du correctif.

Pourquoi les plateformes IA sont devenues une cible prioritaire pour les attaquants

L'exploitation active de CVE-2026-5027 illustre une tendance de fond qui s'est accélérée en 2026 : les plateformes de développement IA, déployées à grande vitesse par des équipes souvent peu sensibilisées à la sécurité applicative, constituent désormais une surface d'attaque majeure et largement sous-protégée. Langflow, Flowise, Dify et n8n partagent un profil de risque commun : développement rapide avec des cycles de release courts, configuration par défaut permissive optimisée pour la facilité d'utilisation, exposition internet fréquente pour faciliter la collaboration entre équipes distribuées, et déploiements souvent réalisés en dehors du périmètre contrôlé par les équipes de sécurité informatique.

L'enjeu dépasse largement le serveur compromis lui-même. Dans la plupart des architectures Langflow de production, les workflows IA s'interconnectent à des bases de données vectorielles (Pinecone, Weaviate, Qdrant), à des API d'IA (OpenAI, Anthropic, Mistral), à des buckets S3 ou Azure Blob Storage, et à des outils internes via des intégrations webhook. Un attaquant qui compromet un serveur Langflow peut pivoter vers l'ensemble de ces ressources en exfiltrant des clés API stockées dans les variables d'environnement, en injectant du contenu malveillant dans des bases vectorielles (empoisonnement des données de retrieval), ou en détournant des pipelines RAG pour injecter des réponses corrompues dans des applications métier utilisées par des équipes entières.

Ce vecteur d'attaque spécifique — compromission d'une plateforme de développement IA pour accéder à des clés et des pipelines en production — est documenté dans plusieurs rapports d'incidents récents de 2026. La campagne TeamPCP/UNC6780 de mai 2026 avait utilisé un mécanisme analogue en compromettant des outils de développement pour déployer le ransomware VECT. La convergence entre DevSecOps et IA Security n'est plus une évolution prospective : elle est opérationnelle pour les attaquants depuis plusieurs mois et constitue l'un des vecteurs de compromission à la croissance la plus rapide selon les rapports Mandiant et CrowdStrike du premier semestre 2026.

Pour les RSSI et les architectes sécurité, cette affaire confirme la nécessité d'appliquer aux plateformes IA les mêmes contrôles qu'aux outils de développement critiques : inventaire continu des instances déployées (y compris shadow IT), gestion stricte des secrets avec rotation régulière des clés API, segmentation réseau interdisant l'accès direct depuis internet sans WAF ou reverse proxy, et intégration dans les processus de gestion des vulnérabilités avec suivi des sources KEV. Le cadre OWASP LLM Top 10, mis à jour en 2025, liste l'insecure plugin design et la sensitive information disclosure comme deux des vecteurs les plus critiques pour les systèmes d'IA — CVE-2026-5027 dans Langflow en est une illustration directe et concrète.

Ce qu'il faut retenir

• Mettre à jour immédiatement Langflow vers la version 1.10.0 et définir LANGFLOW_AUTO_LOGIN=false ; toute instance exposée sur internet sous la version 1.8.4 ou antérieure est compromise ou le sera imminemment.
• CVE-2026-5027 permet une RCE non authentifiée en root via l'endpoint /api/v2/files ; un PoC public disponible depuis le 10 juin 2026 rend l'exploitation triviale.
• L'entrée dans le KEV de la CISA implique des obligations de conformité contractuelle pour les organisations sous contrat fédéral américain et peut engager la responsabilité des assurés cyber en cas de sinistre non traité.