PraisonAI corrige en urgence CVE-2026-44338, une faille de bypass d'authentification exploitée 3h44 après divulgation. Le framework multi-agent IA expose un serveur Flask hérité non authentifié.
En bref
- CVE-2026-44338 : bypass d'authentification CVSS 7.3 dans le framework multi-agent PraisonAI (versions 2.5.6 à 4.6.33).
- Scans automatisés détectés 3 heures 44 minutes après publication de l'advisory GHSA-6rmh-7xcm-cpxj le 11 mai 2026.
- Patch disponible en version 4.6.34. Désactiver impérativement le serveur Flask hérité ou bloquer son exposition réseau.
Les faits
Le 11 mai 2026, GitHub a publié l'advisory GHSA-6rmh-7xcm-cpxj référencé CVE-2026-44338 pour PraisonAI, un framework open-source d'orchestration multi-agent IA totalisant environ 7 100 étoiles sur GitHub. La faille, cotée CVSS 7.3 par le NIST NVD, expose un serveur API Flask hérité dont l'authentification est désactivée par défaut, autorisant tout client non authentifié à invoquer les endpoints sensibles du framework.
L'équipe Sysdig a publié dans la foulée une analyse détaillée révélant que des sondes étiquetées CVE-Detector/1.0 ont commencé à parcourir Internet à la recherche d'instances PraisonAI exposées en exactement 3 heures et 44 minutes après la publication de l'advisory. Cette fenêtre constitue l'un des délais d'exploitation post-divulgation les plus courts jamais documentés sur un projet open-source à ce niveau de popularité, et confirme la trajectoire amorcée fin 2025 où la moyenne tombait sous les 24 heures pour les CVE à fort intérêt offensif.
Le problème technique tient à un détail d'architecture : PraisonAI a embarqué pendant plusieurs versions un serveur Flask hérité utilisé pour des tâches de configuration et d'inspection, distinct du serveur principal. Ce serveur secondaire a conservé un mode développement où l'authentification est explicitement désactivée. Les versions 2.5.6 à 4.6.33 incluses sont vulnérables. Un attaquant ayant accès à l'endpoint peut déclencher des actions critiques : récupération de l'historique des prompts, exécution d'agents, parfois exécution de code via les outils branchés sur le framework selon la configuration locale.
The Hacker News et SecurityWeek ont relayé l'information le 13 mai 2026 en pointant le pattern récurrent : un projet IA open-source à croissance rapide privilégie l'expérience développeur (DX) au détriment des défauts de sécurité de l'API exposée. PraisonAI s'inscrit ainsi dans une série noire qui touche également l'écosystème LangChain, Flowise et plus récemment Ollama, dont l'incident Bleeding Llama (CVE-2026-7482) a exposé la mémoire de 300 000 serveurs début mai 2026.
CSO Online cite des observations terrain remontées par plusieurs équipes SOC : les premières exploitations détectées visaient des déploiements PraisonAI hébergés sur AWS et Hugging Face Spaces, souvent par des entreprises en phase d'expérimentation IA. Les agents découverts comportaient parfois des clés API OpenAI ou Anthropic valides intégrées dans les variables d'environnement, ce qui transforme l'incident en risque financier direct via la consommation frauduleuse de tokens. Plusieurs administrateurs ont rapporté des factures cloud atypiques dans les 48 heures suivant la mise en ligne d'une instance vulnérable.
Le correctif officiel est intégré à PraisonAI 4.6.34, publié le 11 mai 2026 quasi simultanément à l'advisory. Le patch supprime l'option de désactivation de l'authentification par défaut, impose un token sur tous les endpoints sensibles du serveur Flask hérité, et documente une procédure de migration claire pour les utilisateurs en version 2.x ou 3.x. Sysdig recommande malgré tout de ne pas exposer ce serveur Flask hérité sur Internet, même corrigé, et d'utiliser strictement les binding 127.0.0.1.
Le phénomène plus large interroge la maturité des supply chains logicielles IA. Une enquête menée par Sysdig Threat Research en avril 2026 portant sur 1 200 dépôts AI/agentic frameworks montrait déjà que 62% d'entre eux contenaient au moins une dépendance avec une CVE critique non corrigée, et que 18% exposaient une API administrative en bind 0.0.0.0 par défaut. CVE-2026-44338 confirme ce constat : la course à la productivité IA externalise la sécurité au reste de la chaîne, au moment où les attaquants accélèrent leur capacité à scanner et exploiter en quelques heures.
Il s'agit de la deuxième CVE majeure de la semaine concernant directement l'écosystème IA open-source, après l'incident Hugging Face du 12 mai 2026 où un faux modèle OpenAI Privacy Filter téléchargeait un infostealer sur les machines des chercheurs. La fenêtre de réaction défensive disponible aux équipes sécurité se réduit à chaque cycle.
Impact et exposition
Toute organisation déployant PraisonAI en versions 2.5.6 à 4.6.33 est concernée, particulièrement les déploiements de POC IA en cloud public, les plateformes de no-code/agentic AI internes et les chercheurs ayant ouvert le port API à des fins de tests. L'exploitation ne requiert ni authentification ni privilèges. La présence de clés API OpenAI/Anthropic dans l'environnement ajoute un risque financier majeur en plus du risque de fuite de données conversationnelles.
Recommandations
- Mettre à jour vers PraisonAI 4.6.34 ou supérieur sans délai sur toutes les instances exposées.
- Ne jamais exposer le serveur Flask hérité sur Internet : binding strict sur 127.0.0.1 ou réseau interne contrôlé.
- Faire tourner immédiatement toutes les clés API LLM présentes dans les environnements PraisonAI exposés depuis le 11 mai 2026.
- Vérifier les logs OpenAI/Anthropic pour détecter une consommation de tokens anormale sur les 96 dernières heures.
- Mettre en place un scan régulier des endpoints AI internes via outils type Shodan interne ou nuclei avec templates dédiés.
Comment savoir si mon instance PraisonAI a été compromise ?
Comparez votre consommation OpenAI/Anthropic des 5 derniers jours à la moyenne des 30 jours précédents : tout pic non corrélé à votre activité métier est suspect. Inspectez ensuite les logs d'accès Flask pour identifier les requêtes externes vers les endpoints /agents, /execute, /history et autres routes sensibles. La présence de User-Agent CVE-Detector/1.0 ou de scans massifs depuis des IP non listées dans votre allowlist est un fort indicateur de compromission.
Vos déploiements IA sont-ils sécurisés ?
Ayi NEDJIMI accompagne les équipes qui déploient des frameworks agentiques pour identifier les expositions critiques et mettre en place une chaîne de sécurité adaptée aux cycles IA.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-42898 : Dynamics 365 on-prem ouvert à toute identité (CVSS 9.9)
CVE-2026-42898 (CVSS 9.9) permet à tout utilisateur authentifié d'exécuter du code à distance sur Dynamics 365 on-premises. Correctif urgent publié au Patch Tuesday de mai 2026.
CVE-2026-20182 : Cisco Catalyst SD-WAN tombe sous UAT-8616 (CVSS 10)
Cisco corrige CVE-2026-20182 (CVSS 10.0), un bypass d'authentification critique dans Catalyst SD-WAN exploité par UAT-8616. CISA inscrit la faille au catalogue KEV et impose un patch d'urgence.
OpenAI ouvre GPT-5.5-Cyber à l'UE, Anthropic retient Mythos
OpenAI ouvre GPT-5.5-Cyber aux autorités et entreprises européennes dans un EU Cyber Action Plan en quatre piliers, tandis qu'Anthropic retient l'accès à Mythos.
Commentaires (1)
Laisser un commentaire