CVE-2025-34291

plus petit que 1 minute de lecture

Mis à jour : February 22, 2026

Exploitation de Langflow via une Mauvaise Configuration CORS

Une vulnérabilité en chaîne (CVE-2025-34291) affecte Langflow jusqu’à la version 1.6.9. Elle permet la prise de contrôle de compte et l’exécution de code à distance (RCE).

Points Clés :

La faille découle d’une configuration CORS trop permissive (allow_origins='*' avec allow_credentials=True).
Un cookie de jeton de rafraîchissement configuré avec SameSite=None est également impliqué.

Vulnérabilités :

CVE-2025-34291 : Mauvaise configuration CORS permettant le vol de jetons d’authentification.
Absence de protection CSRF sur le point de terminaison de rafraîchissement du jeton.
Point de terminaison de validation de code qui autorise l’exécution de code par conception.

Recommandations :

Mettre à jour Langflow vers une version corrigée (supérieure à 1.6.9).
Réviser et sécuriser la configuration CORS pour éviter la combinaison allow_origins='*' et allow_credentials=True.
Implémenter une protection CSRF adéquate.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-34291

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)