Cet article de Trend™ Research met en lumière une campagne active exploitant la vulnérabilité CVE-2025-3248 dans les versions antérieures à 1.3.0 de Langflow, un cadre visuel Python pour la création d’applications d’IA.
La vulnérabilité, avec un score CVSS de 9.8, permet une exécution de code à distance non authentifiée via des requêtes POST malveillantes au point de terminaison /api/v1/validate/code. Les attaquants utilisent cette faille pour exécuter des scripts téléchargeurs, installant ainsi le malware Flodrix sur les serveurs compromis.
Le botnet Flodrix permet aux acteurs malveillants de compromettre entièrement le système, de lancer des attaques DDoS et d’exfiltrer potentiellement des données sensibles. Les organisations utilisant Langflow sont encouragées à mettre à jour immédiatement vers la version 1.3.0 pour se protéger.
L’article propose une analyse technique détaillée de l’exploitation, des charges utiles malveillantes et des mécanismes de communication du botnet. Il vise à informer les professionnels de la cybersécurité des risques et des mesures de protection disponibles.
🧠 TTP et IOC détecté
TTP
Exploitation de la vulnérabilité CVE-2025-3248 pour l’exécution de code à distance, utilisation de scripts téléchargeurs pour installer le malware Flodrix, contrôle du système compromis via le botnet Flodrix, lancement d’attaques DDoS, exfiltration de données sensibles
🔗 Source originale : https://www.trendmicro.com/en_us/research/25/f/langflow-vulnerability-flodric-botnet.html