CVE-2025-3248

🗓️ Contexte Source : BleepingComputer, publié le 10 juin 2026. L’article rapporte l’exploitation active d’une vulnérabilité haute sévérité dans Langflow, une plateforme open-source de développement d’applications IA très populaire (149 000 étoiles GitHub, 9 200 forks). 🔍 Vulnérabilité CVE-2026-5027 est une faille de path traversal dans la fonctionnalité d’upload de fichiers de Langflow. L’endpoint POST /api/v2/files ne sanitise pas le paramètre filename des données multipart, permettant à un attaquant d’écrire des fichiers à des emplacements arbitraires du système de fichiers via des séquences ../. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd, un magnifique agrégateur de vulnérabilités discutées sur le Fediverse. CVE-2025-4748 Produit : Erlang OTP Score CVSS : 4.8 (MEDIUM) Poids social : 602.0 (posts: 4, utilisateurs: 4) Description : La vulnérabilité “Limitation incorrecte d’un chemin d’accès à un répertoire restreint (‘Path Traversal’)” dans Erlang OTP (modules stdlib) permet une Traversée de Chemin Absolu et une Manipulation de Fichiers. Cette vulnérabilité est associée aux fichiers de programme lib/stdlib/src/zip.erl et aux routines de programme zip:unzip/1, zip:unzip/2, zip:extract/1, zip:extract/2, à moins que l’option de mémoire ne soit passée. Ce problème affecte OTP de OTP 17.0 jusqu’à OTP 28.0.1, OTP 27.3.4.1 et OTP 26.2.5.13, correspondant à stdlib de 2.0 jusqu’à 7.0.1, 6.2.2.1 et 5.2.3.4. ...

Cet article de Trend™ Research met en lumière une campagne active exploitant la vulnérabilité CVE-2025-3248 dans les versions antérieures à 1.3.0 de Langflow, un cadre visuel Python pour la création d’applications d’IA. La vulnérabilité, avec un score CVSS de 9.8, permet une exécution de code à distance non authentifiée via des requêtes POST malveillantes au point de terminaison /api/v1/validate/code. Les attaquants utilisent cette faille pour exécuter des scripts téléchargeurs, installant ainsi le malware Flodrix sur les serveurs compromis. ...

Période analysée : les 7 derniers jours sur le Fediverse. Données collectées via CVE Crowd, un magnifique agrégateur de vulnérabilités discutées sur le Fediverse. CVE-2025-3248 Produit : langflow-ai langflow Score CVSS : 9.8 (CRITICAL) Poids social : 421.0 (posts: 4, utilisateurs: 4) Description : “Les versions de Langflow antérieures à 1.3.0 sont vulnérables à l’injection de code sur le point de terminaison /api/v1/validate/code. Un attaquant distant et non authentifié peut envoyer des requêtes HTTP spécialement conçues pour exécuter du code arbitraire.” Date de publication : 2025-04-07T14:22:39Z Posts Fediverse (4 trouvés) 🗨️ 0x40k (infosec.exchange) – 2025-05-06T08:32:51.431000Z @0x40k sur infosec.exchange 🕒 2025-05-06T08:32:51.431000Z Heads up, everyone! Just read that a critical Langflow vulnerability (CVE-2025-3248) is being actively exploited out there. We're talking a CVSS score of 9.8 – seriously high alert! 🔥For those unfamiliar, Langflow's a pretty cool open-source platform for building AI apps. Here's … ...

L’article publié par Security Info le 7 mai 2025 rapporte une vulnérabilité critique dans Langflow, un outil open-source utilisé pour le développement d’agents d’intelligence artificielle. Cette vulnérabilité est actuellement exploité activement par des attaquants pour compromettre les serveurs exécutant Langflow. Cela soulève des préoccupations majeures pour les utilisateurs de cet outil, car l’exploitation de cette faille pourrait mener à des compromissions de données sensibles ou à des interruptions de service. ...