Les attaquants ont utilisé le RCE critique en quelques heures, ce qui a incité CISA à ajouter la faille à son catalogue KEV et à fixer une date limite de mise à jour urgente.
Les attaquants ont exploité un RCE Langflow critique quelques heures après sa divulgation, ce qui a incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à le signaler officiellement pour une correction urgente.
La faille, qui permet d’exécuter du code arbitraire sur des instances vulnérables de Langflow sans informations d’identification, a été militarisé dans les 20 heures suivant sa divulgation par l’outil open source AI-pipeline.
Selon un rapport de Sysdig, les escrocs ont commencé à s’attaquer à une flotte de nœuds de pots de miel avec des instances vulnérables dans plusieurs fournisseurs de cloud et régions juste après leur mise en ligne. Sysdig a observé quatre tentatives de ce type dans les heures qui ont suivi le déploiement, l’un des attaquants progressant vers l’exfiltration de variables d’environnement.
« Cela est remarquable car aucun référentiel POC public n’existait sur GitHub au moment de la première attaque », ont déclaré les chercheurs de Sysdig. « L’avis lui-même contenait suffisamment de détails (le chemin du point de terminaison vulnérable et le mécanisme d’injection de code via les définitions des nœuds de flux) pour que les attaquants puissent construire un exploit fonctionnel sans recherche supplémentaire. »
CISA a ajouté la faille à son catalogue de vulnérabilités exploitées connues (KEV), exhortant les agences fédérales à corriger leurs systèmes d’ici le 8 avril 2026.
Un paramètre par défaut permet l’injection de code
La vulnérabilité, identifiée comme CVE-2026-33017, provient d’un point de terminaison d’API exposé dans Langflow, le cadre visuel open source pour la création d’agents IA et de pipelines de génération augmentée de récupération (RAG).
L’exposition permet aux attaquants de soumettre des données de flux de travail malveillantes contenant du code Python intégré. Au lieu d’utiliser des données fiables, l’application exécute ce code fourni par l’attaquant sans aucun sandboxing, ce qui conduit à une exécution de code à distance non authentifié sur les systèmes concernés, selon une description du NVD.
« Le point de terminaison build_public_tmp est conçu pour être non authentifié (pour les flux publics) mais accepte de manière incorrecte les données de flux fournies par l’attaquant contenant du code exécutable arbitraire », ajoute la description. « Ceci est distinct de CVE-2025-3248, qui a corrigé /api/v1/validate/code en ajoutant une authentification. »
La faille Code Injection affecte les versions de Langflow jusqu’à (à l’exclusion) 1.8.2 et a été corrigée dans la v1.9.0. Il a reçu une note CVSS critique de 9,3 sur 10, en raison de son exploitabilité « non authentifiée » et simple, de sa surface d’attaque massive par l’IA et de son impact élevé.
Le rythme des exploits suscite des inquiétudes
L’activité d’exploitation a été observée moins d’un jour après que la vulnérabilité soit devenue publique, ce qui, a noté Sysdig, démontre que les acteurs malveillants mettent rapidement en œuvre de nouvelles vulnérabilités (probablement grâce à l’automatisation).
Les attaquants pourraient créer un exploit fonctionnel simplement à partir de la description de l’avis et commencer rapidement à rechercher les instances défectueuses. « Les informations exfiltrées comprenaient des clés et des informations d’identification, qui donnaient accès aux bases de données connectées et à une éventuelle compromission de la chaîne d’approvisionnement logicielle », ont déclaré les chercheurs de Sysdig.
Avec l’effondrement significatif des fenêtres de correctifs, la détection de l’exécution reste une option principale et unique, a noté Sysdig. « Tous les attaquants de cette campagne ont suivi le même playbook post-exploitation : exécuter une commande shell via os.popen() de Python, puis exfiltrer la sortie via HTTP », indique-t-il, ajoutant que les règles d’exécution peuvent détecter ces tentatives.
La détection du temps d’exécution peut aider en travaillant le « jour zéro », ont expliqué les chercheurs. « Ces règles ne nécessitent pas de signature pour CVE-2026-33017 spécifiquement parce qu’elles détectent le comportement d’exploitation, et non la vulnérabilité. Les mêmes règles se déclencheront, que l’accès initial soit passé par CVE-2026-33017, CVE-2025-3248 ou tout autre RCE dans une application. »
Sysdig a également partagé une liste d’indicateurs de compromission (IOC), y compris les adresses IP sources de l’attaquant, l’infrastructure C2 et intermédiaire détectée, les URL Dropper et les domaines de rappel d’interaction. Il recommande une mise à niveau immédiate vers les versions corrigées, une limitation de l’exposition et une surveillance des activités anormales, en soulignant que les instances exposées doivent être traitées comme potentiellement compromises.
