Langflow CVE-2026-5027 : écriture de fichier non authentifiée vers RCE, déjà exploitée
Un path traversal dans l'endpoint /api/v2/files de Langflow permet à une requête non authentifiée d'écrire un fichier n'importe où sur le disque. VulnCheck a confirmé l'exploitation active le 9 juin 2026 ; ~7 000 instances sont exposées.
De quoi s’agit-il ?
CVE-2026-5027 (CVSS 8.8) est une faille de path traversal dans Langflow, la plateforme low-code open source utilisée pour construire des agents LLM, des pipelines RAG et des workflows IA. Le bug permet à un attaquant d’écrire des fichiers à des emplacements arbitraires du système de fichiers de l’hôte via l’endpoint d’upload. Le 9 juin 2026, VulnCheck a signalé que la faille est exploitée dans la nature, et The Hacker News a couvert cette exploitation active le 10 juin. Les données Censys citées dans cette couverture font état d’environ 7 000 instances Langflow exposées publiquement sur Internet, la plupart en Amérique du Nord.
La vulnérabilité a été découverte par Tenable, qui a publié l’avis TRA-2026-26 le 27 mars 2026 après trois tentatives de contact restées sans réponse auprès des mainteneurs en janvier et février. Elle a été corrigée dans Langflow 1.9.0, publié le 15 avril 2026. Nous traitons ici un problème divulgué et corrigé, dans une optique défensive : le danger actuel tient à la large population de déploiements obsolètes exposés sur Internet, pas à une technique secrète.
Comment ça marche
Le défaut est banal et bien compris : l’endpoint POST /api/v2/files prend un filename issu des données de formulaire multipart sans le sanitiser. Le rapport de Tenable précise qu’un attaquant peut fournir des séquences de traversée de répertoire (../) dans ce champ pour sortir du dossier d’upload prévu et déposer un fichier partout où le processus Langflow peut écrire.
Chemin requête : POST /api/v2/files
Champ corrompu : multipart "filename" -> contient des séquences "../"
Sink : le fichier est écrit avec le chemin contrôlé par l'attaquant
Résultat : écriture de fichier arbitraire hors du dossier d'uploadDeux choix de conception transforment une écriture de fichier arbitraire en exécution de code à distance non authentifiée :
- Auto-login par défaut. Comme l’a noté Caitlin Condon (VulnCheck), Langflow active l’auto-login non authentifié par défaut : une seule requête non authentifiée fournit un jeton de session valide avant même le début de l’exploitation. Aucun identifiant n’est nécessaire pour atteindre l’endpoint.
- Pivots écriture-vers-exécution. Une écriture arbitraire devient une exécution de code par des voies classiques : écraser un fichier de configuration, planter une entrée de démarrage ou de cron, ou remplacer un fichier que l’application importe ou exécute ensuite. C’est le même schéma primitive-d’écriture-vers-RCE observé dans les frameworks d’agents IA.
Selon les rapports publics, l’exploitation actuelle reste grossière : les attaquants déposent des fichiers de test inoffensifs pour repérer les hôtes vulnérables, précurseur habituel de charges utiles armées. Nous ne publions pas d’exploit fonctionnel ; le mécanisme ci-dessus suffit à comprendre et à corriger l’exposition.
Pourquoi c’est important
Langflow se trouve au cœur des pipelines de construction IA, souvent relié à des clés d’API, des bases vectorielles, des endpoints de modèles et des services internes. Un hôte qui fait tourner Langflow est rarement une simple machine isolée : c’est une charnière vers l’environnement qui l’entoure. Une écriture de fichier arbitraire en tant qu’utilisateur non authentifié sur un tel hôte est proche du pire scénario.
Le calendrier aggrave le risque. Le correctif est sorti mi-avril, mais l’exploitation a démarré en juin contre la longue traîne de serveurs non patchés — la même dynamique que nous avons signalée dans le déluge de vulnérabilités de l’IA open source et dans le décompte d’un million de services IA exposés. CVE-2026-5027 n’est pas non plus le premier épisode de Langflow cette année : elle fait suite à CVE-2026-33017, CVE-2026-0770, CVE-2026-21445 et CVE-2025-34291 — cette dernière ayant été armée par le groupe iranien lié à l’État MuddyWater. Un outil sous l’attention soutenue des attaquants mérite d’être traité comme une cible de grande valeur, pas comme une commodité de développeur.
Défenses
- Patchez maintenant. Passez à Langflow 1.9.0 ou ultérieur. C’est le seul correctif complet ; tout le reste est mitigation.
- Désactivez l’auto-login par défaut. Exigez une authentification réelle et désactivez l’auto-login non authentifié. La propriété « une requête = un jeton de session » est ce qui rend la faille exploitable à distance à grande échelle.
- Sortez Langflow de l’Internet public. Placez-le derrière un VPN, un reverse proxy avec authentification, ou une liste blanche d’IP. Environ 7 000 instances sont accessibles aujourd’hui ; la vôtre ne devrait pas en faire partie.
- Contraignez le processus. Exécutez Langflow comme un utilisateur à faibles privilèges, en lecture seule là où c’est possible, dans un conteneur ; montez ses répertoires de travail en
noexecet minimisez ce qu’une écriture arbitraire pourrait écraser ou exécuter. - Révoquez les secrets exposés. Si une instance a été exposée sur Internet alors qu’elle n’était pas patchée, traitez les clés d’API, identifiants de modèles et secrets de base de données connectés comme potentiellement compromis et faites-les tourner.
- Chassez la primitive d’écriture. Cherchez dans les logs les requêtes
POST /api/v2/filesdont lefilenamecontient.., et vérifiez la présence de fichiers inattendus dans les chemins de config, cron ou démarrage. Le dépôt de fichiers de test est l’indicateur de compromission actuel.
Statut
| Élément | Détail |
|---|---|
| CVE | CVE-2026-5027 (CVSS 8.8) |
| Classe | Path traversal → écriture de fichier arbitraire → RCE |
| Endpoint | POST /api/v2/files (filename non sanitisé) |
| Portée | Non authentifiée (auto-login par défaut) |
| Découverte par | Tenable — avis TRA-2026-26 |
| Divulgation | 27 mars 2026 (après 3 tentatives de contact en janv.–févr.) |
| Correctif | Langflow 1.9.0, 15 avril 2026 |
| Exploitation active | Confirmée par VulnCheck, 9 juin 2026 |
| Exposition | ~7 000 instances publiques (Censys), surtout Amérique du Nord |
La leçon durable est peu glorieuse : un bug web classique — nom de fichier non sanitisé, path traversal — est tout aussi dévastateur dans une plateforme d’orchestration IA que dans n’importe quelle autre application web, et un correctif dans un dépôt ne fait rien pour les milliers de serveurs qui ne l’appliquent jamais. Traitez l’infrastructure de construction IA comme de l’infrastructure de production : authentifiez-la, isolez-la, patchez-la selon un calendrier, et partez du principe que les attaquants la scannent aujourd’hui même.
Sources
- → https://nvd.nist.gov/vuln/detail/CVE-2026-5027
- → https://www.tenable.com/security/research/tra-2026-26
- → https://thehackernews.com/2026/06/unpatched-langflow-flaw-cve-2026-5027.html
- → https://orca.security/resources/blog/cve-2026-5027-langflow-path-traversal-rce/
- → https://www.bleepingcomputer.com/news/security/path-traversal-flaw-in-ai-dev-platform-langflow-exploited-in-attacks/