Path traversal flaw in AI dev platform Langflow exploited in attacks

Exploitation active de la faille Path Traversal dans Langflow

La plateforme de développement d’IA Langflow est actuellement la cible d’attaques exploitant une vulnérabilité critique de type path traversal (traversée de chemin). Cette faille permet à des attaquants non authentifiés de déposer des fichiers arbitraires sur les serveurs exposés, en profitant d’une absence de validation des noms de fichiers dans l’API de téléchargement.

Points clés :

• Risque élevé : La vulnérabilité est activement exploitée par des attaquants pour tester l’accès aux systèmes.
• Accessibilité : En raison de la configuration par défaut de Langflow (auto-connexion non authentifiée), aucune identification n’est requise pour compromettre le serveur.
• Surface d’exposition : Environ 7 000 instances de la plateforme seraient potentiellement exposées sur Internet.

Vulnérabilité :

• CVE-2026-5027 : Faille de path traversal située dans le point de terminaison POST /api/v2/files. Elle permet d’utiliser des séquences ../ dans le paramètre filename pour écrire des fichiers en dehors du répertoire prévu.

Recommandations :

• Mise à jour immédiate : Les utilisateurs doivent mettre à jour leur instance vers la version 1.10.0 ou ultérieure pour corriger cette faille (les correctifs ont été introduits initialement dans langflow-base 0.8.3 et Langflow 1.9.0).
• Sécurisation : Désactiver les fonctionnalités d’auto-connexion non authentifiée si elles ne sont pas strictement nécessaires et restreindre l’accès réseau aux instances Langflow.

Source