La **CISA** a ajouté **CVE-2026-33017** à son catalogue des vulnérabilités connues et exploitées, la décrivant comme une vulnérabilité d'injection de code avec un score critique de 9,3 sur 10. La vulnérabilité permet aux attaquants de créer des flux publics sans authentification, conduisant à l'exécution de code à distance. ### Exploitation rapide après divulgation Les chercheurs de **Sysdig** ont signalé que l'exploitation de **CVE-2026-33017** a commencé environ 20 heures après la publication de l'avis de vulnérabilité le 19 mars. Notamment, aucun code d'exploit de preuve de concept (PoC) public n'était disponible à ce moment-là, suggérant que les attaquants ont créé des exploits directement à partir des informations de l'avis, selon **Endor Labs**. Le scan automatisé a commencé dans les 20 heures, suivi de l'exploitation à l'aide de scripts Python dans les 21 heures, et de la collecte de données (spécifiquement les fichiers `.env` et `.db`) dans les 24 heures. ### Langflow : une cible de choix **Langflow** est un framework visuel open-source populaire pour la construction de flux de travail IA, comptant 145 000 étoiles sur **GitHub**. Son interface glisser-déposer facilite la connexion de nœuds en pipelines exécutables, complétée par une API REST pour l'exécution programmatique. Cette adoption généralisée au sein de la communauté de développement IA en fait une cible attrayante pour les acteurs malveillants. ### Vulnérabilités Langflow précédentes En mai 2025, la **CISA** a émis un avertissement similaire concernant l'exploitation active de **CVE-2025-3248** dans **Langflow**, une faille critique d'un point d'accès API permettant l'exécution de code à distance sans authentification et un contrôle potentiel complet du serveur. ### Détails techniques de CVE-2026-33017 **CVE-2026-33017** permet aux attaquants d'exécuter du code Python arbitraire et affecte les versions 1.8.1 et antérieures de **Langflow**. La vulnérabilité peut être exploitée via une seule requête HTTP spécialement conçue en raison de l'exécution de flux non isolée. ### Remédiation et atténuation Bien que la **CISA** n'ait pas explicitement lié l'exploitation à des acteurs de ransomware, les agences fédérales avaient jusqu'au 8 avril pour appliquer les mises à jour de sécurité ou les atténuations, ou cesser d'utiliser le produit. Il est fortement conseillé aux administrateurs système de mettre à niveau vers la version 1.9.0 ou ultérieure de **Langflow**, qui corrige la vulnérabilité, ou de désactiver/restreindre le point d'accès vulnérable. **Sysdig** recommande en outre d'éviter l'exposition directe de **Langflow** à Internet, de surveiller le trafic sortant et de faire pivoter les clés API, les identifiants de base de données et les secrets cloud lors de la détection d'activités suspectes. ### Directive CISA et implications plus larges La directive de la **CISA** s'applique formellement aux organisations couvertes par la Binding Operational Directive (BOD) 22-01. Cependant, les entreprises du secteur privé, les gouvernements locaux et d'autres entités non-FCEB sont encouragés à la considérer comme une référence et à y répondre en conséquence. <a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Red Report 2026: Pourquoi le chiffrement des ransomwares a chuté de 38%</a></h2> <p>Les malwares deviennent plus intelligents. Le Red Report 2026 révèle comment les nouvelles menaces utilisent les mathématiques pour détecter les sandboxes et se cacher à la vue de tous.</p> <p>Téléchargez notre analyse de 1,1 million d'échantillons malveillants pour découvrir les 10 principales techniques et voir si votre pile de sécurité est aveugle.</p> </div>