Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Chainlit AI framework bugs let hackers breach cloud environments

1 minute de lecture

Mis à jour :

Failles critiques dans Chainlit : un risque pour les environnements cloud

Des failles de sécurité majeures ont été découvertes dans Chainlit, un framework open-source largement utilisé pour le développement d’applications d’IA conversationnelle. Ces vulnérabilités, baptisées “ChainLeak”, permettent à des attaquants de lire n’importe quel fichier sur un serveur et de divulguer des informations sensibles, potentiellement sans aucune interaction de l’utilisateur. Ces failles affectent directement les systèmes d’IA exposés sur Internet et déployés dans diverses industries, y compris de grandes entreprises.

Points clés :

  • Chainlit est un framework populaire avec environ 700 000 téléchargements mensuels.
  • Il est couramment utilisé pour des applications d’IA basées sur le chat, offrant une interface web prête à l’emploi et des outils de déploiement cloud.
  • Les chercheurs ont identifié une combinaison de deux failles permettant un compromis complet des systèmes cloud.

Vulnérabilités :

  • Lecture arbitraire de fichiers (CVE-2026-22218) : Exploitable via le point de terminaison /project/element, cette vulnérabilité permet à un attaquant de copier n’importe quel fichier accessible par le serveur Chainlit dans sa session. Cela inclut potentiellement des clés API, des identifiants de compte cloud, du code source, des fichiers de configuration internes, des bases de données SQLite et des secrets d’authentification.
  • Usurpation de requête côté serveur (SSRF) (CVE-2026-22219) : Affectant les déploiements utilisant la couche de données SQLAlchemy, cette faille permet à un attaquant de forcer le serveur à effectuer une requête sortante (GET) vers une URL contrôlée. La réponse est ensuite stockée et peut être récupérée par l’attaquant, ouvrant la voie à l’accès à des services REST internes et à l’exploration d’adresses IP et de services internes.

Recommandations :

  • Mettre à jour Chainlit vers la version 2.9.4 ou une version ultérieure (la version la plus récente est 2.9.6) dès que possible afin de corriger ces vulnérabilités critiques.

Source

Vous pourriez aimer