CVE-2026-33017 Langflow : RCE non authentifié exploité

Les faits

Le 25 mars 2026, la CISA a inscrit CVE-2026-33017 dans son catalogue Known Exploited Vulnerabilities (KEV), confirmant une exploitation active observée dès le 18 mars — soit seulement 20 heures après la publication de l'advisory GitHub (GHSA-vwmf-pq79-vjvx, 17 mars 2026 à 20h05 UTC). Langflow est un framework open-source de construction de pipelines d'IA comptant plus de 145 000 étoiles GitHub, massivement déployé dans des environnements d'entreprise pour orchestrer des agents LLM, des workflows RAG et des chaînes d'appels à des modèles de langage. La faille réside dans l'endpoint public POST /api/v1/build_public_tmp/{flow_id}/flow, qui accepte des définitions de nœuds contenant du code Python arbitraire exécuté côté serveur sans sandbox ni vérification d'authentification. Toutes les versions jusqu'à 1.8.1 incluse sont concernées. Cette vulnérabilité illustre la tendance documentée d'une réduction dramatique du délai entre divulgation et exploitation active, passé à quelques heures pour les failles critiques touchant des outils populaires.

L'équipe Sysdig TRT a documenté la timeline complète : à H+20, des scans automatisés depuis quatre adresses IP distinctes ont été détectés avec des templates Nuclei privés. À H+21, des scripts Python custom ciblaient l'endpoint vulnérable via des requêtes python-requests/2.32.3. À H+24, les attaquants collectaient des credentials : contenu de /etc/passwd, variables d'environnement, fichiers .env et bases SQLite des instances Langflow. À H+30, une exfiltration de données vers un C2 hébergé sur 143.110.183.86:8080 était confirmée, accompagnée d'un dropper secondaire servi depuis 173.212.205.251:8443. Les IOCs répertoriés incluent des adresses en Allemagne, Singapour, France (205.237.106.117) et Pays-Bas. La directive BOD 22-01 impose aux agences fédérales américaines un patch ou mitigation avant le 8 avril 2026. Les risques pour la chaîne d'approvisionnement IA sont analogues à ceux documentés pour les attaques sur les packages PyPI ciblant les outils LLM.

Impact et exposition

Langflow est exposé massivement dans des environnements cloud (AWS, GCP, Azure) et des espaces Hugging Face. Toute instance accessible depuis internet avec une version ≤ 1.8.1 est compromettable sans authentification préalable. L'attaquant obtient un shell avec les permissions du processus Langflow, lui permettant d'exfiltrer l'ensemble des clés API stockées dans les fichiers de configuration — tokens OpenAI, Anthropic, AWS Bedrock, HuggingFace et credentials de bases de données. Dans les déploiements d'entreprise, cela expose les pipelines d'IA en production, les données traitées et potentiellement les systèmes en aval accessibles depuis le contexte réseau du serveur compromis. Les agents IA autonomes déployés avec des accès étendus représentent une surface particulièrement sensible, comme l'analyse l'intégration sécurisée des agents IA en entreprise. Le vecteur de persistance post-exploitation rejoint les techniques furtives documentées comme GlassWorm utilisant Solana comme infrastructure C2 pour maintenir un accès indétectable.

Recommandations

• Mise à jour immédiate vers Langflow 1.9.0 ou supérieur via pip install --upgrade langflow
• Blocage de l'endpoint vulnérable au niveau WAF ou reverse-proxy : refuser les requêtes POST sur /api/v1/build_public_tmp/ si la mise à jour est impossible à court terme
• Retrait de l'exposition internet : aucune instance Langflow ne doit être accessible publiquement sans authentification forte et segmentation réseau
• Rotation immédiate de toutes les clés API (OpenAI, Anthropic, AWS Bedrock, HuggingFace), tokens de base de données et secrets présents dans les fichiers .env des instances potentiellement exposées
• Investigation de compromission : analyser les logs d'accès pour des requêtes POST vers l'endpoint vulnérable, notamment depuis les IOCs listés
• Threat hunting : rechercher des connexions sortantes vers 143.110.183.86 et 173.212.205.251 dans les logs réseau