La faille de traversée de chemin, permettant l’accès à des fichiers arbitraires, s’ajoute à un ensemble croissant de problèmes de validation d’entrée dans les pipelines d’IA.
Les chercheurs en sécurité préviennent que les applications utilisant des frameworks d’IA sans protections appropriées peuvent exposer des informations sensibles de manière basique, mais critique, sans recourir à l’IA.
Selon une analyse récente de Cyera, les outils d’orchestration d’IA largement utilisés, LangChain et LangGraph, sont vulnérables à des failles critiques de validation des entrées qui pourraient permettre aux attaquants d’accéder aux données sensibles de l’entreprise.
Dans un récent article de blog, la société de cybersécurité a expliqué comment une faille récemment découverte dans LangChain, ainsi que deux failles similaires signalées précédemment, peuvent être exploitées pour récupérer différentes catégories de données, notamment des fichiers locaux, des clés API et l’état des applications stockées. « La plus grande menace pour les données d’IA de votre entreprise n’est peut-être pas aussi complexe que vous le pensez », ont déclaré les chercheurs de Cyera dans l’article.
Les problèmes se cachent souvent dans la « plomberie invisible et fondamentale » qui relie l’IA aux flux de travail de l’entreprise, affirment les chercheurs, ajoutant que toutes les failles sont désormais corrigées par les responsables des outils, mais doivent être appliquées immédiatement dans toutes les intégrations pour éviter tout impact. Path Traversal devient le dernier d’une série de bugs de validation d’entrée
Cyera a révélé une nouvelle vulnérabilité de traversée de chemin et l’a analysée aux côtés de deux failles signalées précédemment, montrant comment chacune correspond à des composants spécifiques dans LangChain et LangGraph et permet d’accéder à une classe de données différente.
Le problème de traversée du chemin, suivi comme CVE-2026-34070, découle de la façon dont une fonctionnalité LangChain résout les chemins de fichiers lors du chargement de modèles d’invite ou de ressources externes. En fournissant des entrées contrefaites, un attaquant peut parcourir des répertoires et lire des fichiers arbitraires du système hôte, exposant potentiellement les fichiers de configuration et les informations d’identification. La faille a reçu une note de gravité CVSS de 7,5 sur 10.
L’une des failles les plus anciennes, une faille de désérialisation dangereuse identifiée comme CVE-2025-68664, provenait de la gestion d’objets sérialisés dans le framework LangChain. Le problème permet à une application de traiter des données sérialisées non fiables, permettant à un attaquant d’injecter des charges utiles malveillantes interprétées comme des objets fiables, permettant ainsi l’accès à des données d’exécution sensibles telles que des clés API et des variables d’environnement. La faille avait reçu une note critique de 9,3/10,0 lors de sa divulgation en décembre 2025.
L’autre faille plus ancienne, une vulnérabilité d’injection SQL dans le mécanisme de point de contrôle de LangGraph, permettait la manipulation des requêtes backend. L’exploitation de cette faille pourrait accorder l’accès aux données d’application stockées, y compris l’historique des conversations et l’état du flux de travail lié aux agents IA. Suivie avec l’ID CVE CVE-2025-67644, la faille s’est vu attribuer une note de gravité élevée de CVSS 7,3 sur 10.
Ensemble, ont souligné les chercheurs de Cyera, les trois failles (ainsi que d’autres du même type) mettent en évidence à quel point les cadres d’IA largement utilisés peuvent exposer différentes couches de données d’entreprise, transformant ainsi LangChain et LangGraph en une nouvelle surface d’attaque.
Retour aux sources
La technique d’exploitation décrite dans le rapport repose sur une validation d’entrée insuffisante et une gestion dangereuse des données sur les points d’intégration clés dans les pipelines d’IA. Dans chaque cas, les entrées contrôlées par l’attaquant, que ce soit via des invites, des charges utiles sérialisées ou des paramètres de requête, peuvent influencer la façon dont l’infrastructure interagit avec le système de fichiers ou la base de données.
Pour le bug de traversée de chemin le plus récent, le risque est dû à un manque de validation stricte du chemin et de sandboxing. Les mesures d’atténuation incluent l’application de listes d’autorisation pour l’accès aux fichiers et la restriction des limites des répertoires. Dans le cas de la désérialisation, le problème réside dans le traitement des données externes comme étant fiables.
Cyera recommande d’éviter les méthodes de désérialisation dangereuses et de s’assurer que seules les structures de données validées et attendues sont traitées. Pour l’injection SQL, la société a recommandé d’utiliser des requêtes paramétrées et de renforcer la vérification des entrées. Dans les trois cas, les directives étaient conformes aux pratiques de codage sécurisées établies.
