Langflow CVE-2026-55255 : un contournement d'auth sur les workflows d'agents IA, désormais au KEV CISA
> En bref : CVE-2026-55255 est une faille IDOR (Insecure Direct Object Reference, CVSS 9.8) dans Langflow, le framework open-source visuel de construction d'agents IA. Un attaquant authentifié peut accéder aux flows d'autres utilisateurs en envoyant une requête forgée à /api/v1/responses avec l'UUID de la victime. Exploitée depuis le 25 juin 2026. La CISA l'a ajoutée à son catalogue KEV le 7 juillet avec un délai de correction d'une semaine.
Pourquoi ça vous concerne
Langflow est devenu un bloc de construction par défaut pour les équipes qui livrent des fonctionnalités IA : une interface drag-and-drop pour câbler LLMs, outils et sources de données en pipelines exécutables, plus une API REST pour les lancer programmatiquement. Si votre produit a ajouté un « assistant IA », un chatbot RAG ou une fonctionnalité d'agent dans les 18 derniers mois, il y a de vraies chances que Langflow (ou un framework similaire) soit en dessous.
Ça fait des couches d'orchestration IA une nouvelle cible à forte valeur — et CVE-2026-55255 est un cas d'école du pourquoi.
La faille en deux phrases
C'est une IDOR. L'endpoint /api/v1/responses prend un identifiant de flow (flow_id, un UUID) et exécute le flow correspondant — mais il ne vérifie pas que l'appelant possède ou est autorisé à accéder à ce flow. Envoyez une requête avec l'UUID de quelqu'un d'autre et vous récupérez les données de son flow, le contenu sensible qu'il traite, et vous consommez ses ressources.
Une IDOR, c'est la faille d'autorisation la plus courante dans les API — OWASP API1:2023 (BOLA). Ce n'est pas un bug spécifique à l'IA. Ce qui le rend aigu ici, c'est *ce que* contiennent les flows Langflow : prompts, documents récupérés, sources de données connectées, identifiants de modèle, et souvent les clés API LLM sur lesquelles le flow tourne.
Ce que les attaquants voulaient vraiment
Sysdig Threat Research Team, qui a observé l'exploitation depuis le 25 juin, a été clair sur le motif : « exécution de code et livraison d'implant de second stage (classe loader/dropper). » Leur lecture : l'attaquant est opportuniste et motivé financièrement, et les deux produits fiables d'un hôte IA compromis sont la compute (la machine rejoint un botnet ou fait tourner un implant) et les identifiants (clés LLM et cloud). Outil peu sophistiqué, bon marché, reproductible.
Ça correspond au pattern plus large : l'infrastructure IA exposée est moissonnée pour la valeur des clés API qu'elle détient. Une clé OpenAI ou Anthropic leakée vaut de l'argent réel sur les marchés de revente, et une instance Langflow en est une réserve concentrée.
Ce n'est pas le premier rodéo de Langflow
Langflow a maintenant enchaîné quatre failles signalées par la CISA en gros un an :
Le pattern dit quelque chose : les frameworks d'orchestration IA sont ciblés en continu, et ils livrent vite sur les features et lentement sur la sécurité. Si vous en embarquez un, traitez-le comme de l'infrastructure exposée à Internet qui a besoin de son propre SLA de patch, d'isolation réseau et d'hygiène d'identifiants.
Ce qu'il faut faire
/api/v1/responses aux utilisateurs finaux sans une couche d'autorisation devant.Pour une équipe feature-IA, la leçon, c'est que la surface IA hérite de chaque vulnérabilité web classique — IDOR, auth bypass, path traversal, RCE — et en ajoute de nouvelles au-dessus. Le framework « IA » ne change pas les bases ; il les rend plus chères quand elles se déclenchent.
Vous éditez un logiciel RH, paie ou recrutement ? CleanIssue réalise des audits de sécurité pour SaaS RH en conditions réelles, sans accès au code. Pour une première lecture de votre exposition, commencez par une revue externe de votre application.
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
LiteLLM CVE-2026-42271 : injection de commandes via les endpoints MCP, exploitée activement
Une faille dans le proxy LiteLLM (CVSS 8.8) permet à tout détenteur d'une clé API d'exécuter des commandes sur le serveur via les endpoints de test MCP. La CISA confirme une exploitation active. Si votre SaaS a des fonctionnalités IA, lisez ceci.
SharePoint CVE-2026-58644 : une RCE critique zero-day ajoutée au catalogue KEV de la CISA
Une faille de désérialisation (CVSS 9.8) dans Microsoft SharePoint Server permet à un attaquant authentifié comme Site Owner d'exécuter du code arbitraire à distance. Exploitée comme zero-day, ajoutée au catalogue KEV de la CISA le 16 juillet 2026 avec un délai de correction au 19 juillet.
Gitea CVE-2026-20896 : un contournement d'authentification en un header, livré dans l'image Docker officielle
L'image Docker officielle de Gitea livrait `REVERSE_PROXY_TRUSTED_PROXIES=*`, donc avec l'authentification reverse-proxy activée, un client Internet non authentifié devenait celui qu'il prétendait être via le header X-WEBAUTH-USER. CVSS 9.8, exploitation active. Correctif : Gitea 1.26.3 / 1.26.4.
Sources
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.