CVE-2026-5027 activement exploité permet aux attaquants d’écrire des fichiers dans des emplacements arbitraires sur des serveurs Langflow vulnérables, créant ainsi une voie vers l’exécution de code à distance et la compromission complète du système.
Les entreprises utilisant la plate-forme open source d’orchestration d’IA Langflow sont invitées à corriger une faille de traversée de chemin de haute gravité au milieu d’une exploitation active, bien qu’un correctif soit disponible depuis plus de deux mois.
Le bug, qui provient d’une mauvaise gestion des noms de fichiers dans la fonctionnalité de téléchargement de fichiers de Langflow, peut permettre aux attaquants d’écrire des fichiers à des emplacements arbitraires au sein du système affecté et, dans certaines conditions, peut être utilisé pour réaliser l’exécution de code à distance (RCE) sur les serveurs concernés.
Une complexité supplémentaire est que Langflow est livré avec un comportement de connexion automatique, permettant aux utilisateurs non authentifiés disposant d’une session valide d’atteindre le point de terminaison vulnérable sans informations d’identification.
« Langflow est un outil open source populaire pour créer des applications d’IA », a déclaré Jim Sherlock, vice-président de la R&D en cybersécurité chez ProCircular. « Étant donné que la plate-forme est livrée avec la connexion désactivée par défaut, l’exploitation prend en charge une seule requête sans informations d’identification, ce qui entraîne une prise de contrôle complète de la machine. »
L’organisation à but non lucratif de sécurité cloud, Cloud Security Alliance (CSA), a déclaré qu’environ 7 000 instances Langflow sont exposées à Internet.
Problème de traversée de chemin permettant la prise en charge complète du système
Langflow est une plate-forme low-code populaire pour la création d’agents IA, de pipelines RAG et de flux de travail basés sur MCP via une interface glisser-déposer. Cette popularité ajoute aux inquiétudes concernant CVE-2026-5027, une vulnérabilité de traversée de chemin attribuée à une note CVSS de 8,8.
Selon l’enregistrement CVE, la vulnérabilité affecte le point de terminaison POST /api/v2/files. Le point de terminaison ne parvient pas à valider correctement le paramètre « nom de fichier » fourni via les « données de formulaire en plusieurs parties », permettant aux attaquants d’inclure des séquences de parcours de chemin telles que « ../ » et d’écrire des fichiers en dehors du répertoire de téléchargement prévu, sur un emplacement contrôlé par l’attaquant.
À l’aide d’un exploit GitHub POC, EQST Lab a démontré comment la faille peut être exploitée pour placer des fichiers contrôlés par des attaquants dans des emplacements arbitraires du système de fichiers. Ils ont déclaré que dans les environnements où la connexion automatique est activée, l’écriture arbitraire d’un fichier peut être transformée en exécution de code à distance.
« Les vulnérabilités d’écriture arbitraire de fichiers sont souvent plus graves que les problèmes de téléchargement sans restriction standard, car l’attaquant contrôle non seulement le contenu du fichier, mais également le chemin de destination », ont déclaré les chercheurs d’EQST dans la note POC. « En fonction des privilèges d’exécution du processus Langflow, cela peut permettre l’écrasement des fichiers d’application, la modification des fichiers de démarrage ou de tâches planifiées, la persistance via l’initialisation du shell ou les fichiers de clé, et le passage de l’écriture arbitraire de fichiers à l’exécution de code à distance. »
La vulnérabilité affecte les versions Langflow jusqu’à 1.8.4, tandis que les chercheurs ont indiqué que le problème avait été résolu dans la version 1.9.0, publiée le 15 avril, soit 73 jours après la première divulgation de la faille au fournisseur. La logique des correctifs a été appliquée à toutes les versions ultérieures, y compris la version actuelle 1.10.0.
Les plateformes d’orchestration d’IA continuent d’attirer les attaquants
Cette divulgation intervient dans un contexte d’intérêt croissant des attaquants pour l’infrastructure d’IA. VulnCheck a confirmé que CVE-2026-5027 est déjà exploité, avec une activité observée, notamment des tentatives de dépôt de fichiers sur des systèmes vulnérables. Les codes d’exploitation publics ont encore réduit la barrière pour les attaquants opportunistes.
L’exploitation du CVE-2026-5027 a été liée au groupe parrainé par l’État iranien connu sous le nom de MuddyWater.
Sherlock a déclaré que de nombreuses organisations ont, sans le savoir, élargi leur surface d’attaque grâce à des outils d’IA rapidement déployés. « Jusqu’en 2025, les équipes du monde entier ont utilisé Langflow, Flowise, n8n, Dify et d’autres outils low-code similaires pour prototyper des agents et des flux de travail LLM », a-t-il ajouté. « Ces déploiements ont rarement bénéficié du renforcement d’une application Web de production. Ils fonctionnent avec des paramètres d’authentification par défaut et reposent sur des adresses IP publiques, car quelqu’un avait besoin de faire une démonstration d’un flux à une partie prenante, et personne n’est propriétaire des correctifs. »
Plus tôt cette année, des acteurs malveillants ont exploité un autre Langflow RCE critique peu de temps après sa divulgation. Plus récemment, des chercheurs ont découvert un bug grave affectant la mise en œuvre du Model Context Protocol (MCP) de Flowise qui permettait le RCE via des configurations spécialement conçues.
