Retour au blog
IA & LLMCVELangflowAI agents

Langflow CVE-2026-55255 : un contournement d'auth sur les workflows d'agents IA, désormais au KEV CISA

Publié le 2026-07-086 min de lectureCleanIssue

> En bref : CVE-2026-55255 est une faille IDOR (Insecure Direct Object Reference, CVSS 9.8) dans Langflow, le framework open-source visuel de construction d'agents IA. Un attaquant authentifié peut accéder aux flows d'autres utilisateurs en envoyant une requête forgée à /api/v1/responses avec l'UUID de la victime. Exploitée depuis le 25 juin 2026. La CISA l'a ajoutée à son catalogue KEV le 7 juillet avec un délai de correction d'une semaine.

Pourquoi ça vous concerne

Langflow est devenu un bloc de construction par défaut pour les équipes qui livrent des fonctionnalités IA : une interface drag-and-drop pour câbler LLMs, outils et sources de données en pipelines exécutables, plus une API REST pour les lancer programmatiquement. Si votre produit a ajouté un « assistant IA », un chatbot RAG ou une fonctionnalité d'agent dans les 18 derniers mois, il y a de vraies chances que Langflow (ou un framework similaire) soit en dessous.

Ça fait des couches d'orchestration IA une nouvelle cible à forte valeur — et CVE-2026-55255 est un cas d'école du pourquoi.

La faille en deux phrases

C'est une IDOR. L'endpoint /api/v1/responses prend un identifiant de flow (flow_id, un UUID) et exécute le flow correspondant — mais il ne vérifie pas que l'appelant possède ou est autorisé à accéder à ce flow. Envoyez une requête avec l'UUID de quelqu'un d'autre et vous récupérez les données de son flow, le contenu sensible qu'il traite, et vous consommez ses ressources.

Une IDOR, c'est la faille d'autorisation la plus courante dans les APIOWASP API1:2023 (BOLA). Ce n'est pas un bug spécifique à l'IA. Ce qui le rend aigu ici, c'est *ce que* contiennent les flows Langflow : prompts, documents récupérés, sources de données connectées, identifiants de modèle, et souvent les clés API LLM sur lesquelles le flow tourne.

Ce que les attaquants voulaient vraiment

Sysdig Threat Research Team, qui a observé l'exploitation depuis le 25 juin, a été clair sur le motif : « exécution de code et livraison d'implant de second stage (classe loader/dropper). » Leur lecture : l'attaquant est opportuniste et motivé financièrement, et les deux produits fiables d'un hôte IA compromis sont la compute (la machine rejoint un botnet ou fait tourner un implant) et les identifiants (clés LLM et cloud). Outil peu sophistiqué, bon marché, reproductible.

Ça correspond au pattern plus large : l'infrastructure IA exposée est moissonnée pour la valeur des clés API qu'elle détient. Une clé OpenAI ou Anthropic leakée vaut de l'argent réel sur les marchés de revente, et une instance Langflow en est une réserve concentrée.

Ce n'est pas le premier rodéo de Langflow

Langflow a maintenant enchaîné quatre failles signalées par la CISA en gros un an :

  • CVE-2025-3248 (authentification manquante, mai 2025) — utilisée par l'opération de ransomware JadePuffer pour dumper la base PostgreSQL.
  • CVE-2026-33017 (injection de code, mars 2026).
  • CVE-2026-5027 (path traversal, juin 2026) — écriture de fichiers arbitraires sur les serveurs exposés.
  • CVE-2026-55255 (cette IDOR, juillet 2026).
  • Le pattern dit quelque chose : les frameworks d'orchestration IA sont ciblés en continu, et ils livrent vite sur les features et lentement sur la sécurité. Si vous en embarquez un, traitez-le comme de l'infrastructure exposée à Internet qui a besoin de son propre SLA de patch, d'isolation réseau et d'hygiène d'identifiants.

    Ce qu'il faut faire

  • Patcher immédiatement — le délai d'une semaine de la CISA pour les agences fédérales est le bon benchmark pour toute instance Langflow exposée à Internet.
  • Arrêter d'exposer Langflow directement sur Internet. Mettez-le derrière une gateway authentifiante, restreignez l'API au backend de votre application, et n'exposez jamais /api/v1/responses aux utilisateurs finaux sans une couche d'autorisation devant.
  • Scoper l'accès de chaque flow. Le framework rend facile de donner à un flow une clé API ou une connexion de base — appliquez le moindre privilège par flow, rotater les clés, et supposez que chacune peut être exfiltrée via une IDOR comme celle-ci.
  • Ajouter des contrôles d'autorisation au niveau objet si vous construisez au-dessus de Langflow : chaque endpoint qui prend un identifiant d'objet doit vérifier que l'appelant le possède. C'est OWASP API1, et c'est la chose la plus courante qui manque dans les API de features IA que nous auditions.
  • Chercher la compromission si votre instance était exposée : flows inconnus, prompts modifiés, trafic sortant vers des endpoints non familiers, consommation anormale d'API LLM.
  • Pour une équipe feature-IA, la leçon, c'est que la surface IA hérite de chaque vulnérabilité web classique — IDOR, auth bypass, path traversal, RCE — et en ajoute de nouvelles au-dessus. Le framework « IA » ne change pas les bases ; il les rend plus chères quand elles se déclenchent.

    Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit