Évasion de Sandbox Terrarium CVE-2026-5752 : Mise à jour sur la faille Cohere-AI et plan de réaction en 72 heures

7 min de lecture · Mis à jour le 23.04.2026

Le 14 avril 2026, la vulnérabilité CVE-2026-5752 a été rendue publique, concernant une échappatoire de bac à sable dans le projet open-source Terrarium. Le CERT/CC (Computer Emergency Response Team/Coordination Center) a analysé cette faille en détail le 22 avril, avec un score CVSS de 9.3, permettant l’exécution de code root dans le conteneur de bac à sable. L’entreprise derrière Terrarium est Cohere AI, et non Cloudflare. Ceux qui ont confondu les deux fournisseurs ces derniers jours devraient corriger leurs notes de mitigation. Les équipes Edge-Workers, les MSP (Managed Service Providers) avec des chemins d’exécution de code dans les applications LLM (Large Language Models) et tous les opérateurs utilisant Terrarium pour la logique de bac à sable basée sur des conteneurs doivent réagir immédiatement dans les 72 heures.

Points clés

CVE-2026-5752 concerne le projet open source Terrarium de Cohere AI, et non Cloudflare.
CVSS 9.3, exécution de code root dans le conteneur sandbox, évasion potentielle de conteneur, CERT/CC-Advisory VU#414811.
Le bug provient d’une faiblesse dans l’isolation de la chaîne de prototypes JavaScript de la couche sandbox.
Le CERT/CC n’a pas pu coordonner avec le fournisseur la mise à jour corrective avant la publication, la mitigation incombe actuellement aux opérateurs.
Les équipes Edge-Workers, les MSP et les plateformes LLM avec des chemins d’exécution de code ont besoin d’un inventaire sur 72 heures avec un lockdown IMDS et un durcissement du trafic sortant.

Vérification des faits et incident réel

Qu’est-ce que Terrarium ? Terrarium est une sandbox Open Source de Cohere AI, fournie sous forme de conteneur Docker. Elle exécute du code non fiable, souvent des extraits Python ou JavaScript provenant d’utilisateurs ou de modèles de langage de grande taille (LLM). Cohere AI est le fournisseur, pas Cloudflare. La confusion apparaît dans certains rapports secondaires car l’architecture Cloudflare Workers possède sa propre sandbox. Quiconque utilise les deux stacks en parallèle devrait maintenir une distinction claire entre les termes.

Le bug lui-même a été rendu public le 14 avril 2026, avec une analyse détaillée supplémentaire par CERT/CC sous la référence VU#414811 le 22 avril. La faille se situe dans la chaîne de prototypes JavaScript. Un code chargé dans la sandbox peut accéder à l’objet global via la propriété prototype du constructeur Function. L’objet Mock-Document dans Terrarium est créé comme un littéral d’objet JavaScript standard et hérite ainsi des propriétés de Object.prototype. Ce mécanisme d’héritage permet au code de la sandbox de remonter jusqu’à globalThis et d’obtenir les privilèges root dans le conteneur.

Les conséquences pratiques sont graves. Un exploit réussi accorde les privilèges root dans le conteneur, lit ou écrit dans /etc/passwd et les clés SSH, lit les variables d’environnement contenant des clés API temporaires et accède aux services voisins dans le réseau de conteneurs. Selon la configuration, les voies d’évasion du conteneur vers l’hôte sont probables. Particulièrement délicat est la combinaison avec les informations d’identification temporaires dans les variables d’environnement, qu’un attaquant peut extraire en quelques secondes avant que les pipelines de détection ne réagissent.

CVSS 9.3

Évasion de sandbox avec exécution de code root dans le conteneur

14 avril

CVE-2026-5752 rendue publique, détails CERT/CC le 22 avril

VU#414811

Avis CERT/CC avec analyse technique

Qui est concerné dans l’entreprise et ce que l’action immédiate signifie

Trois classes d’applications méritent une réaction rapide. La première concerne les applications LLM (Large Language Models) avec interpréteur de code intégré. Quiconque exploite une application de chat avec exécution Python a presque certainement une couche sandbox dans son architecture. Si cette couche est Terrarium, le correctif ou la mitigation devrait être déployé en production dans les 24 heures. Un inventaire par scan SBOM (Software Bill of Materials) ou audit d’image de conteneur clarifie la situation en quelques heures.

La deuxième classe concerne les piles Edge d’entreprise où Terrarium fonctionne comme composant dans de plus grandes plateformes. Ici, la propagation est plus difficile à détecter car Terrarium est souvent intégré plus profondément dans les images de conteneur. Des outils SBOM comme Trivy, Grype ou Snyk fournissent généralement des résultats fiables, à condition que les SBOM soient à jour. Quiconque n’a pas de discipline SBOM perd un temps de réaction précieux lors de telles vagues d’attaques.

La troisième classe concerne les applications multi-locataires qui offrent l’exécution de code aux clients finaux. Ici, la faille est particulièrement critique car un attaquant avec un accès root dans le conteneur sandbox pourrait potentiellement accéder aux données d’autres locataires. Les opérateurs multi-locataires devraient mener en parallèle de la mitigation une analyse forensique des 30 derniers jours et informer activement les clients dès que la mitigation est effective.

Ce que les équipes de sécurité doivent faire immédiatement

Recherche de composants Terrarium dans vos propres images de conteneur via SBOM
Imposer un confinement IMDS (Instance Metadata Service) au niveau de la plateforme cloud
Restriction de la liste d’autorisation Egress pour les conteneurs sandbox
Vérification des autorisations, utilisation de tokens éphémères plutôt que de variables d’environnement

Ce qui ne suffit pas

Seules les règles WAF (Web Application Firewall) devant l’application sans durcissement des conteneurs
Faire confiance à « nous ne sommes pas en production » sans preuve SBOM
Redémarrage du conteneur sans reconstruction de l’image et redéploiement
Patch sans redéploiement sur tous les nœuds de cluster actifs

Un plan de réaction en 72 heures pour les équipes Edge et Plateforme

Trois jours suffisent pour la réaction initiale à l’incident. Le mécanisme est étroitement lié à la réaction ASP.NET Core du même week-end, ce qui facilite une chorégraphie partagée entre l’ingénierie et la sécurité.

Heures 0-12

Inventaire. Scan SBOM (Software Bill of Materials), audit des images de conteneur, interrogation des équipes de plateforme. Quels services utilisent Terrarium ou des chemins d’exécution de code dans les applications LLM (Large Language Models) ?

Heures 12-24

Tri. Quelles applications sont exposées à Internet, lesquelles sont multi-locataires, lesquelles utilisent des jetons éphémères ? Priorisation par classe de risque.

Heures 24-36

Durcissement. Forcer l’utilisation d’IMDSv2 (Instance Metadata Service version 2), configurer une liste d’autorisation de sortie (Egress-Allowlist) au niveau des conteneurs, migrer les secrets des variables d’environnement vers des jetons basés sur Vault.

Heures 36-48

Détection. Règles SIEM (Security Information and Event Management) pour les lancements suspects de conteneurs sandbox, recherche EDR (Endpoint Detection and Response) sur les accès à /etc/passwd, alertes d’anomalie pour les connexions sortantes inhabituelles.

Heures 48-60

Examen forensique. Vérifier les journaux des 30 derniers jours pour détecter toute activité sandbox suspecte. En cas de découverte, lancer la chaîne d’incidents et informer les clients multi-locataires.

Heures 60-72

Rapportage. Informer le CISO (Chief Information Security Officer), la conformité, et si applicable, la protection des données et les autorités de contrôle. Mettre à jour la documentation d’architecture concernant la couche sandbox, planifier un examen de 90 jours.

Ce que la faille révèle sur le monde des AI Sandbox 2026

Trois leçons structurelles méritent d’être soulignées. Premièrement : les bugs des AI Sandbox ne sont plus une discipline de niche en 2026. Avec l’essor des applications de LLM (Large Language Models) fonctionnant avec un interpréteur de code, la Sandbox est devenue une composante critique dans les stacks d’entreprise. Quiconque déploie une application de chat avec exécution Python assume une responsabilité Sandbox qui n’était souvent pas prévue dans le cahier des charges.

Deuxièmement : la discipline liée au SBOM (Software Bill of Materials) détermine le temps de réaction. Celui qui maintient une liste complète des composants logiciels réagit en heures. Celui qui n’a pas de SBOM cherche pendant des jours. Pour des failles critiques comme CVE-2026-5752, cette différence est opérationnellement pertinente. Les investissements dans les outils de gestion de SBOM se révèleront multiplément rentables dès le premier incident sérieux.

Troisièmement : la responsabilité liée aux logiciels Open Source mérite une attention stratégique. Cohere AI est un fournisseur commercial, tandis que Terrarium est un projet Open Source largement déployé. Le CERT/CC n’a pas pu mettre en place une distribution coordonnée de correctifs. Ce n’est pas inhabituel, mais cela oblige les opérateurs à assumer leurs propres responsabilités. Quiconque intègre des composants Open Source dans des stacks de production devrait vérifier régulièrement le statut de cycle de vie de chaque composant. L’analyse approfondie sur l’architecture de Sandbox stratégique propose un développement plus détaillé sur ce sujet.

Comment l’incident s’intègre au panorama des correctifs du T2

CVE-2026-5752 s’inscrit dans une série. Microsoft ASP.NET Core CVE-2026-40372 est survenu le même week-end, la mise à jour CISA-KEV du 20 avril a apporté huit autres vulnérabilités. Le T2 2026 révèle une fréquence d’incidents critiques que les équipes de sécurité opérationnelle n’étaient pas habituées à voir en 2024.

Structurellement, cela exige une architecture de réponse différente. Ceux qui en 2024 pouvaient planifier avec deux CVE critiques par mois voient en 2026 quatre à six par semaine. La visibilité en ingénierie de plateforme, les pipelines de correctifs automatisés et l’inventaire basé sur les SBOM doivent devenir des équipements standard. Qui reporte cela crée une friction croissante qui deviendra visible dans les prochains trimestres.

Pour les conseils d’administration, l’incident représente un cas d’examen concret. Une question sur le statut actuel des correctifs lors de la prochaine réunion du conseil d’administration affine le sujet pour le CISO et le CIO. Une deuxième question sur la maturité des SBOM et la communication d’incidents multi-locataires fournit un bon contrôle de gouvernance. Celui qui peut répondre de manière concrète aux deux questions en 30 secondes dispose d’une gouvernance de sécurité fonctionnelle. Celui qui fournit des réponses vagues a un besoin d’investissement identifiable pour 2026.

Questions fréquentes

Est-il vrai que Terrarium appartient à Cloudflare ?

Non. Terrarium est un projet open-source de Cohere AI. La confusion avec Cloudflare Workers est apparue dans certains rapports secondaires. Ceux qui ont mentionné Cloudflare comme fournisseur dans leurs notes de mitigation devraient corriger cela.

Quelles sont les options de patch disponibles ?

Actuellement, le CERT/CC n’a pas réussi à coordonner une mise à disposition de patch avec le fournisseur. Les options de mitigation sont du ressort des opérateurs : verrouillage IMDS, durcissement des sorties, renforcement des conteneurs, réduction des autorisations. Ceux qui suivent activement les mises à jour de Cohere devraient appliquer immédiatement le patch dès sa publication.

Quelles règles de détection sont pertinentes ?

Alertes SIEM pour les spawns de processus de conteneurs en bac à sable, chasse EDR sur les accès à /etc/passwd, anomalies dans les connexions sortantes depuis les conteneurs en bac à sable. Pour les configurations multi-locataires, surveiller également les limites inter-locataires.

Comment le bug se comporte-t-il par rapport aux failles classiques d’échappement de conteneur ?

Similaire, mais différent. Les échappements de conteneurs classiques affectent le runtime du conteneur lui-même. La CVE-2026-5752 affecte la couche de bac à sable JavaScript à l’intérieur du conteneur, mais peut escalader jusqu’à root et potentiellement conduire à un échappement de conteneur. La défense en profondeur est la réponse appropriée.

Que signifie cette faille pour les fournisseurs multi-locataires ?

Particulièrement critique. Un attaquant avec un accès root dans le conteneur en bac à sable peut potentiellement accéder aux données d’autres locataires si l’isolation est insuffisante. Les fournisseurs multi-locataires devraient préparer immédiatement une communication avec leurs clients et effectuer une analyse forensique des 30 derniers jours.

Comment gérer le reporting aux autorités de supervision ?

Les opérateurs NIS2 d’installations essentielles et particulièrement importantes doivent évaluer la gravité et, le cas échéant, la signaler. Les opérateurs DORA dans le secteur financier classifient cela comme un incident lié aux TIC et suivent le chemin de reporting interne. Ceux qui travaillent dans des secteurs réglementés devraient documenter l’évaluation, même si aucune obligation de reporting ne s’applique.