CVE-2025-34291

Langflow : Risque d’usurpation de compte et d’exécution de code à distance

Une faille critique, identifiée comme CVE-2025-34291, a été découverte dans Langflow jusqu’à la version 1.6.9. Elle combine une configuration CORS trop permissive avec des cookies de jeton de rafraîchissement non sécurisés, permettant à un attaquant de voler les identifiants de session d’un utilisateur. L’exploitation de cette vulnérabilité, qui ne bénéficie pas de protection CSRF pour la mise à jour des jetons, permet à un acteur malveillant d’exécuter du code arbitraire à distance sur le système de la victime. Des tentatives d’exploitation active ont été constatées.

Points Clés :

• Nature de la vulnérabilité : Enchaînement de failles de sécurité.
• Impact : Usurpation de compte et exécution de code à distance (RCE).
• Produit affecté : Langflow.
• Versions affectées : Jusqu’à et incluant la version 1.6.9.
• Exploitation : Activement observée.

Vulnérabilités :

• CVE-2025-34291 : Permet à une page malveillante d’effectuer des requêtes inter-origines incluant les identifiants de l’utilisateur.
  • Cause principale : Configuration CORS laxiste (allow_origins='*' combinée à allow_credentials=True).
  • Facteurs aggravants : Cookie de jeton de rafraîchissement configuré avec SameSite=None et absence de protection CSRF sur le point de terminaison de rafraîchissement de jeton.

Recommandations :

• Mettre à jour Langflow vers une version corrigée (au-delà de 1.6.9).
• Revoir et sécuriser les configurations CORS pour éviter les autorisations trop larges.
• Mettre en œuvre des protections CSRF adéquates pour les points de terminaison sensibles.

Source