CVE-2025-34291 : Langflow exploité activement, ajouté au KEV CISA

Les faits

Le 21 mai 2026, la CISA (Cybersecurity and Infrastructure Security Agency) a ajouté CVE-2025-34291 à son catalogue KEV (Known Exploited Vulnerabilities), confirmant l'existence de preuves concretes d'exploitation active dans la nature. Cette vulnerabilite affecte Langflow, une plateforme open source d'orchestration d'agents et de workflows bases sur des modeles de langage (LLM) tres populaire dans l'ecosysteme IA d'entreprise. Langflow permet aux developpeurs et aux equipes data science de construire visuellement des pipelines applicatifs connectant des LLM comme GPT-4 ou Claude a des outils externes, des bases de donnees vectorielles et des API metier.

La nature technique de CVE-2025-34291 est une erreur de validation d'origine (CWE-346 — Origin Validation Error) resultant de la combinaison de deux defauts de configuration distincts mais synergiques dans la couche d'authentification de Langflow. D'une part, la configuration CORS (Cross-Origin Resource Sharing) de l'application est excessivement permissive, autorisant des requetes cross-origin depuis des origines non controlees. D'autre part, le cookie de refresh token utilise pour le renouvellement de session est configure avec l'attribut SameSite=None sans restriction d'origine stricte, ce qui le rend accessible lors de requetes cross-site initiees depuis un domaine tiers malveillant.

L'exploitation s'effectue en plusieurs etapes. Un attaquant cree une page web malveillante hebergee sur un domaine sous son controle. Lorsqu'un utilisateur authentifie de Langflow visite cette page via phishing, publicite malveillante ou compromission d'un site tiers, le JavaScript de la page effectue une requete cross-origin vers l'endpoint de renouvellement de token de l'instance Langflow de la victime. En raison de la configuration CORS permissive et du cookie SameSite=None, cette requete cross-origin reussit et inclut automatiquement le cookie de session de l'utilisateur. L'attaquant recupere ainsi un nouveau token d'acces valide qu'il peut utiliser pour s'authentifier sur l'instance Langflow de la victime avec ses privileges complets.

Une fois en possession d'un token d'authentification valide, l'attaquant peut acceder a l'ensemble des fonctionnalites de l'instance Langflow avec les droits de la victime. Dans le pire des cas, si la victime est administrateur de l'instance, cela inclut l'acces aux credentials d'API (cles OpenAI, Anthropic, HuggingFace), aux connexions aux bases de donnees, aux workflows configures contenant potentiellement des donnees sensibles, et la capacite d'executer du code arbitraire via les noeuds d'execution de code Python disponibles dans Langflow. Cette derniere capacite permet une compromission complete du serveur hebergeant l'instance Langflow, avec impact maximal sur la confidentialite, l'integrite et la disponibilite du systeme.

CVE-2025-34291 s'inscrit dans une serie de vulnerabilites critiques affectant Langflow en 2025-2026, illustrant les risques de securite associes a la democratisation rapide des plateformes d'orchestration IA. Une vulnerabilite distincte, CVE-2026-33017 (CVSS 9.3), avait precedemment permis une execution de code a distance non authentifiee via l'endpoint public de construction de flows, exploitee en moins de 20 heures apres sa divulgation selon des rapports de SonicWall et Infosecurity Magazine. La rapidite d'exploitation de cette faille anterieure illustre l'attractivite des plateformes Langflow pour les attaquants, qui ciblent desormais l'infrastructure IA des entreprises comme vecteur d'intrusion privilegie pour acceder aux modeles et aux donnees qu'ils traitent.

La popularite de Langflow est en forte croissance dans les environnements d'entreprise qui experimentent ou deploient des agents IA. De nombreux deploiements sont realises rapidement, sans durcissement de securite systematique, avec des instances accessibles depuis Internet pour faciliter la collaboration entre equipes. Ces deploiements representent une surface d'attaque significative, d'autant que les instances Langflow hebergent souvent des credentials d'API critiques dont le vol peut engendrer des couts financiers directs importants (consommation frauduleuse d'API LLM) et compromettre d'autres services connectes au pipeline IA.

La CISA a ajoute CVE-2025-34291 au KEV le 21 mai 2026 avec une deadline de remediation contraignante pour les agences federales americaines FCEB (Federal Civilian Executive Branch). L'ajout au KEV confirme que des attaquants exploitent activement cette vulnerabilite dans des campagnes reelles. D'apres les informations publiees par VPNcentral, CSO Online et Techzine Global, les preuves d'exploitation incluent des campagnes de phishing ciblant specifiquement les utilisateurs de plateformes Langflow pour declencher l'exploitation CORS et des tentatives de vol de tokens d'API a grande echelle sur des instances publiquement accessibles. La combinaison d'une exploitation simple — necessitant uniquement que la victime visite une URL malveillante — et de l'acces a des credentials d'API de haute valeur rend CVE-2025-34291 particulierement attractive pour les acteurs de la menace orientes vers la fraude financiere et l'espionnage industriel.

La vulnerabilite a ete initialement cataloguee sous le numero CVE-2025-34291, indiquant une decouverte ou une divulgation initiale en 2025, avant que l'exploitation active ne soit confirmee et que la CISA ne l'integre au KEV en mai 2026. Les organisations utilisant Langflow, qu'il soit auto-heberge ou deploye via des solutions derivees, doivent considerer leurs instances comme potentiellement compromises si elles n'ont pas applique les correctifs disponibles et si des utilisateurs authentifies ont visite des sites externes pendant la fenetre d'exposition. La rotation immediate des credentials et l'audit des journaux d'acces sont des mesures de securite indispensables dans ce contexte.

Impact et exposition

Toute instance Langflow exposee sur Internet avec une configuration CORS par defaut ou permissive est vulnerable a CVE-2025-34291. L'exposition est particulierement elevee dans les environnements de developpement et de demonstration deployes rapidement sans audit de securite prealable, un pattern tres frequent dans l'ecosysteme IA actuel. Les instances auto-hebergees sur des serveurs cloud (AWS, GCP, Azure, OVH) avec acces public direct representent la surface d'attaque principale.

L'impact en cas d'exploitation reussie depend des droits de la victime et du contenu de l'instance Langflow compromise. Au minimum, l'attaquant accede a tous les workflows et donnees de l'utilisateur. Dans le cas le plus grave avec une victime administrateur, l'attaquant obtient l'acces complet a l'instance, incluant les credentials d'API stockes (OpenAI, Anthropic, bases de donnees), et la capacite d'executer du code arbitraire sur le serveur hote via les noeuds d'execution Python de Langflow, constituant une compromission serveur complete.

Les organisations utilisant Langflow dans des environnements de production pour des applications d'automatisation metier (support client IA, analyse de documents, generation de contenu) font face a un risque de fuite de donnees sensibles traitees par ces workflows. Les entreprises ayant connecte Langflow a des bases de donnees internes ou des API metier sont particulierement exposees a des mouvements lateraux depuis la plateforme Langflow compromise vers les systemes d'information internes.

Recommandations immediates

• Mettre à jour Langflow vers la dernière version corrigée disponible sur le dépôt officiel du projet — vérifier le CHANGELOG pour identifier la version adressant CVE-2025-34291
• Révoquer et renouveler immédiatement tous les tokens d'API et clés d'authentification stockés dans les instances Langflow potentiellement exposées (clés OpenAI, Anthropic, HuggingFace, connexions BDD)
• Restreindre l'accès aux instances Langflow aux seuls réseaux internes de confiance via règles pare-feu — supprimer tout accès Internet direct si non indispensable
• Configurer CORS de manière restrictive : définir explicitement les origines autorisées en liste blanche plutôt que d'utiliser le wildcard * ou des configurations permissives par défaut
• Configurer les cookies de session avec les attributs SameSite=Strict ou SameSite=Lax pour bloquer les requêtes cross-site non désirées
• Auditer les journaux d'accès pour identifier des connexions API avec des tokens potentiellement volés, notamment depuis des adresses IP inhabituelles ou des User-Agents suspects
• Implémenter une authentification multifacteur (MFA) sur toutes les instances Langflow accessibles depuis Internet