🔍 Contexte

Source : CrowdSec VulnTracking Report, publié le 20 avril 2026. Le réseau CrowdSec suit l’exploitation active de CVE-2026-21445, une vulnérabilité critique affectant Langflow, un outil open-source populaire (147 000 étoiles GitHub) pour la création et le déploiement d’agents IA et d’automatisation de workflows.

🐛 Vulnérabilité

CVE-2026-21445 est un bypass d’authentification affectant plusieurs endpoints critiques de l’API Langflow. Des endpoints de monitoring étaient accessibles sans authentification, exposant :

  • L’historique des conversations utilisateurs
  • L’historique des transactions
  • Les données de sessions de messages (supprimables sans autorisation)

Les versions antérieures à 1.7.0.dev45 sont affectées. La version corrigée est 1.7.1.

📅 Chronologie

  • 2 janvier 2026 : Publication du CVE
  • 4 janvier 2026 : PoC public disponible en ligne
  • 30 mars 2026 : Template Nuclei public (ProjectDiscovery) mergé
  • 1er avril 2026 : CrowdSec publie une règle de détection
  • 9 avril 2026 : Première exploitation in-the-wild détectée
  • 21 avril 2026 : Activité toujours en cours

🎯 Activité d’exploitation

L’exploitation est active mais sélective : 18 adresses IP distinctes ont été observées entre le 9 et le 21 avril 2026, suggérant une reconnaissance ciblée plutôt qu’un scanning massif. L’accélération de l’exploitation coïncide avec la disponibilité du template Nuclei réutilisable.

📌 Type d’article

Rapport de vulnérabilité à visée CTI, publié par CrowdSec pour documenter l’exploitation active de CVE-2026-21445 et fournir des indicateurs de détection aux défenseurs.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1589 — Gather Victim Identity Information (Reconnaissance)
  • T1530 — Data from Cloud Storage (Collection)

IOC

  • CVEs : CVE-2026-21445NVD · CIRCL

Malware / Outils

  • Nuclei (tool)

🟡 Indice de vérification factuelle : 36/100 (moyenne)

  • ⬜ crowdsec.net — source non référencée (0pts)
  • ✅ 5611 chars — texte complet (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.crowdsec.net/vulntracking-report/cve-2026-21445-langflow-authentication-bypass-exploitation?_hsenc=p2ANqtz-8fi8jP4d1H8aWB_uJ6Ww_87D_KkIXx5ovUbCpday58aR6bIscTW-Jn0FlCtn3C7HhZAxQzf5orwE-aXIYrTKuNCHzkvg&_hsmi=414639806

🖴 Archive : https://web.archive.org/web/20260423071249/https://www.crowdsec.net/vulntracking-report/cve-2026-21445-langflow-authentication-bypass-exploitation?_hsenc=p2ANqtz-8fi8jP4d1H8aWB_uJ6Ww_87D_KkIXx5ovUbCpday58aR6bIscTW-Jn0FlCtn3C7HhZAxQzf5orwE-aXIYrTKuNCHzkvg&_hsmi=414639806