The Threat Codex17h ago
CVE-2026-33017: How attackers compromised Langflow AI pipelines in 20 hours
#CVE_2026_33017
https://www.sysdig.com/blog/cve-2026-33017-how-attackers-compromised-langflow-ai-pipelines-in-20-hours
CVE-2026-33017: How attackers compromised Langflow AI pipelines in 20 hours | Sysdig

Critical Langflow vulnerability CVE-2026-33017 enables unauthenticated RCE, exploited within 20 hours of disclosure. Learn how attackers weaponized it and how to detect and defend against active threats.

CyberVeille.ch1d ago

📢 CVE-2026-33017 : exploitation de Langflow en moins de 20h sans PoC public
📝 ## 🗓️ Contexte

Source : Infosecurity Magazine, article de Phil Muncaster publié le 20 mars 2026, basé sur un blog post de Sysdig.
📖 cyberveille : https://cyberveille.ch/posts/2026-03-22-cve-2026-33017-exploitation-de-langflow-en-moins-de-20h-sans-poc-public/
🌐 source : https://www.infosecurity-magazine.com/news/hackers-exploit-critical-langflow/
#CVE_2026_33017 #IOC #Cyberveille

CVE-2026-33017 : exploitation de Langflow en moins de 20h sans PoC public

🗓️ Contexte Source : Infosecurity Magazine, article de Phil Muncaster publié le 20 mars 2026, basé sur un blog post de Sysdig. L’article couvre l’exploitation rapide d’une vulnérabilité critique dans le framework open source Langflow. 🔍 Vulnérabilité concernée CVE-2026-33017 : vulnérabilité d’exécution de code à distance (RCE) non authentifiée dans Langflow, un framework visuel open source pour la création d’agents IA et de pipelines RAG Score CVSS : 9.3 Exploitation possible via une seule requête HTTP, sans aucune authentification requise Permet l’exécution de code Python arbitraire sur les instances Langflow exposées ⚡ Timeline d’exploitation 17 mars 2026 : publication de l’advisory CVE ~20 heures après : premières activités malveillantes observées sur les honeypots de Sysdig Aucun proof-of-concept (PoC) public n’existait au moment de l’exploitation 🎯 Activités malveillantes observées Scan automatisé de l’infrastructure depuis 4 adresses IP sources envoyant le même payload (probablement un seul attaquant) Déploiement de scripts Python d’exploitation personnalisés via un dropper de stage 2, indiquant un toolkit d’exploitation préparé Collecte de credentials : clés de bases de données, clés API, credentials cloud, fichiers de configuration Risque de compromission de la chaîne d’approvisionnement logicielle via les accès obtenus 📊 Tendances de compression des délais d’exploitation Selon l’initiative Zero Day Clock citée par Sysdig : le temps médian d’exploitation (TTE) est passé de 771 jours en 2018 à quelques heures en 2024 En 2023, 44% des vulnérabilités exploitées ont été weaponisées dans les 24 heures suivant la divulgation 80% des exploits publics apparaissent avant la publication de l’advisory officiel Selon Rapid7 : le délai médian entre publication d’une vulnérabilité et son inclusion dans le catalogue KEV de la CISA est passé de 8,5 jours à 5 jours en un an Délai médian de déploiement de patches par les organisations : ~20 jours 📰 Nature de l’article Article de presse spécialisée relayant une publication de recherche de Sysdig, visant à documenter la rapidité d’exploitation d’une vulnérabilité critique et illustrer la compression des délais d’exploitation dans le paysage des menaces actuel.

CyberVeille