La vulnérabilité permet aux utilisateurs non authentifiés d’exécuter un code Python arbitraire sur les serveurs via un point de terminaison API non protégé.
L’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA) présente qu’une faille critique fixée le mois dernier à Langflow est maintenant exploitée à la nature. La vulnérabilité, qui peut être exploitée sans authentification pour exécuter à distance le code arbitraire sur les serveurs, a été ajoutée au catalogue connu des vulnérabilités exploitées par CISA (KEV), signalant les agences gouvernementales et les organisations privées qu’elle devrait être corrigée immédiatement.
Langflow est un outil open source écrit en Python qui permet aux utilisateurs de créer et de déployer des agents AI via une interface visuelle ainsi qu’un serveur API. À l’ère de l’IA d’agence, lorsque de nombreuses entreprises cherchent à tirer parti de grands modèles de langue (LLM) pour automatiser les flux de travail internes, Langflow est devenu très populaire, avec près de 60 000 étoiles sur Github.
De par sa nature, Langflow permet aux utilisateurs authentifiés d’exécuter un code arbitraire. Lors de la création d’agents via les composants visuels de Langflow, les utilisateurs modifient librement le code Python sous-jacent. Mais la vulnérabilité CVE-2025-3248 trouvée par des chercheurs d’Horizon3.ai donne le même pouvoir aux utilisateurs non authentifiés, un problème aggravé par le fait qu’il existe plus de 500 instances de Langflow exposées à Internet et beaucoup plus accessibles via des réseaux internes.
Authentification manquante sur le point de terminaison de l’API dangereux
La faille est plutôt simple et découle du fait qu’un point de terminaison API a appelé /api/v1/validate/code avait manqué des vérifications d’authentification et passé du code au python exec fonction. Cependant, ça n’a pas fonctionné exec directement sur les fonctions, mais sur les définitions de fonctions, qui rendent les fonctions disponibles pour l’exécution mais n’exécutent pas leur code.
Pour cette raison, les chercheurs Horizon3.ai ont dû proposer une méthode d’exploitation alternative tirant parti d’une caractéristique Python appelée décorateurs, qui «sont des fonctions qui renvoient des fonctions qui enveloppent d’autres fonctions».
La preuve de concept publié par Horizon3.ai le 9 avril exploite les décorateurs pour réaliser l’exécution du code distant, mais les chercheurs notent qu’un chercheur tiers a également réalisé la même chose en abusant d’une autre caractéristique des fonctions Python appelées arguments par défaut.
Depuis lors, un exploit pour cette vulnérabilité a également été ajouté à Metasploit, un cadre de test de pénétration populaire, il n’est donc pas surprenant que les attaquants aient déjà commencé à exploiter ce défaut dans les attaques.
Remédiation
Les utilisateurs de Langflow sont invités à mettre à niveau immédiatement les déploiements vers la version 1.3.0 publié le 1er avril, qui comprend le correctif, ou vers la dernière version, 14.0, qui a des correctifs supplémentaires.
Les chercheurs Horizon3.ai soulignent que tout utilisateur de Langflow peut déjà dégénérer ses privilèges à SuperUser car ils peuvent exécuter du code sur le serveur par conception. En tant que tels, toutes les informations d’identification utilisateur de Langlow volées ou faibles peuvent présenter un risque important.
« En tant que pratique générale, nous recommandons la prudence lors de l’exposition de tous les outils d’IA récemment développés à Internet », ont déclaré les chercheurs. « Si vous devez l’exposer à l’extérieur, envisagez de le mettre dans un VPC isolé et / ou derrière SSO. Il ne faut qu’un seul déploiement errant / ombre de ces outils sur une instance cloud pour avoir une brèche sur vos mains. »
