BRIEFING SÉCURITÉ · 15.07.2026 DEENFRES

Pratique & Mise en œuvre

Quatre failles dans le KEV – l’une extrait des clés cloud

Par Alec Chizhik · 10 juillet 2026 · 7 min de lecture

Le 7 juillet, l’autorité américaine CISA a ajouté quatre vulnérabilités activement exploitées à son catalogue KEV et a accordé à ses propres autorités fédérales un délai de trois jours pour les corriger. Sont concernés Adobe ColdFusion, deux constructeurs de pages Joomla et Langflow, un outil de création d’agents IA. Pour les équipes de sécurité allemandes, cette liste n’est pas un acte administratif américain. Elle constitue un signal de priorisation.

L’essentiel en bref

  • Quatre en un jour. CISA liste ColdFusion, Langflow et deux Page Builders Joomla comme activement exploités, le délai pour les autorités américaines a expiré le 10 juillet.
  • L’exploitation pèse plus lourd que le score. Une entrée KEV documente une attaque réelle. C’est un argument de correctif plus fort qu’une valeur CVSS élevée seule.
  • Les outils IA dans le viseur. Langflow figure pour la deuxième fois dans le catalogue. Via la faille, les attaquants ont extrait des clés Cloud et IA.

Lié : Type Confusion dans le V8 de Chrome : La faille qui revient  ·  La porte dérobée dans presque tous les contrats d’hébergement web allemands

Quatre failles, un délai de trois jours

Qu’est-ce que le catalogue CISA KEV ? La liste des Known Exploited Vulnerabilities répertorie les vulnérabilités pour lesquelles l’autorité américaine CISA a démontré une exploitation réelle. Une entrée représente une attaque observée sur le terrain, prouvée par de véritables incidents.

Trois des quatre entrées portent la valeur maximale 10,0, le cas Langflow 9,9. Chez Adobe ColdFusion, une erreur de Path Traversal permet l’exécution de code étranger, Adobe a distribué le correctif seulement le 30 juin. Deux extensions Joomla, SP Page Builder et Page Builder CK, peuvent être piratées sans connexion via un téléversement de fichiers. Une entrée se distingue toutefois.

Produit CVE CVSS Faille Version de correctif
Adobe ColdFusion CVE-2026-48282 10.0 Path Traversal, exécution de code 2025 Update 10 / 2023 Update 21
Langflow CVE-2026-55255 9.9 Accès inter-locataires (IDOR) 1.9.1
SP Page Builder CVE-2026-48908 10.0 Téléversement de fichiers sans connexion, RCE 6.6.2
Page Builder CK CVE-2026-56290 10.0 Téléversement de fichiers sans connexion, RCE 3.6.0

Le court délai n’est pas un hasard. CISA priorise depuis la nouvelle directive BOD 26-04 selon le risque plutôt que selon une fenêtre de temps fixe. Là où surface d’attaque, statut KEV et dommage technique coïncident, il reste trois jours. Les entreprises allemandes ne sont pas liées par le délai. Le signal indiquant quelles failles sont réellement attaquées en ce moment reste valable.

Pourquoi précisément un constructeur IA

Langflow est un outil open source qui permet aux équipes de composer visuellement des workflows LLM et des agents IA. De telles instances tournent souvent en self-hosting dans le développement, avec de véritables identifiants stockés. C’est précisément ce qui les rend précieuses.

La faille CVE-2026-55255 est une erreur d’accès entre locataires. Un attaquant exécute des workflows via un identifiant de flow étranger qui ne lui appartient pas. Des chercheurs en sécurité de Sysdig ont observé comment des attaquants ont ainsi extrait via prompt les clés stockées : les accès OpenAI, Anthropic et AWS ont été exfiltrés. D’un outil de développement piraté, cela devient un tremplin vers le Cloud.

La répétition est remarquable. Dès mars, Langflow figurait déjà dans le catalogue avec une autre faille critique. La deuxième entrée en quelques mois montre un schéma : les outils de développement IA deviennent une surface d’attaque, souvent installés en contournant le département sécurité.

Ce que l’entrée signifie pour les équipes allemandes

Formellement, le délai CISA ne lie que les autorités fédérales américaines. En pratique, de nombreuses équipes allemandes traitent déjà le catalogue KEV comme un système d’alerte précoce. Il répond à la question que les modèles de scoring internes laissent ouverte : Quelle faille est réellement attaquée en ce moment ?

Cette question a du poids, car l’écart entre attaque et réaction s’agrandit. Pourquoi une valeur CVSS élevée seule ne décide pas de l’ordre, nous l’avons traité en détail ailleurs. Ici compte le point pratique : une entrée KEV est la preuve qui transforme une tâche facultative en tâche obligatoire.

119

nouvelles vulnérabilités enregistrées par le BSI par jour, une hausse de 24 pour cent

43 jours

temps médian jusqu’au correctif, passé de 32 (Verizon DBIR 2026)

31 %

des incidents de sécurité commencent par une vulnérabilité exploitée (Verizon DBIR 2026)

Celui qui doit arbitrer entre 119 nouvelles vulnérabilités par jour et un délai de correctif de 43 jours ne peut pas tout corriger à la même vitesse. Le catalogue KEV fournit le critère pour établir l’ordre.

La hiérarchisation pour son propre environnement

La première étape est banale et pourtant la plus importante : savoir ce qui tourne. Sans un inventaire à jour, chaque alerte KEV reste abstraite.

Vérifier immédiatement

  • Comparer l’inventaire : ColdFusion, Langflow ou l’une des deux extensions Joomla est-elle en service dans l’entreprise ? Dans quelle version ?
  • Déployer les correctifs : ColdFusion 2025 Update 10 respectivement 2023 Update 21, Langflow 1.9.1, SP Page Builder 6.6.2, Page Builder CK 3.6.0.
  • Pour Langflow, faire pivoter tous les accès stockés : OpenAI, Anthropic, AWS et clés de base de données.
  • Vérifier les logs : appels de téléversement inattendus chez Joomla, exécutions de flow étrangères chez Langflow.
  • Traiter en priorité les instances accessibles publiquement, puis les systèmes internes.

Pour Langflow, le correctif ne suffit pas. Quiconque avait la version concernée en production doit supposer que des identifiants ont été exfiltrés. La rotation des clés fait partie du traitement, et non d’un cycle de maintenance ultérieur.

Questions fréquentes

Chaque question est verrouillée. Un tap déverrouille la réponse.

Que signifie l’ajout au catalogue KEV ?

CISA n’ajoute une vulnérabilité que lorsqu’une exploitation réelle est prouvée. L’entrée représente donc une attaque confirmée sur le terrain, et non un risque théorique. Cela la distingue d’un simple score CVSS.

Le délai CISA s’applique-t-il aussi aux entreprises allemandes ?

Légalement non. Le délai ne concerne que les autorités fédérales américaines. Cependant, de nombreuses équipes de sécurité allemandes utilisent le catalogue comme un signal d’alerte précoce, car il prouve quelles failles sont actuellement attaquées activement.

Laquelle des quatre failles est la plus urgente ?

Cela dépend du parc propre. Les serveurs ColdFusion accessibles publiquement et les pages Joomla non protégées sont immédiatement exposés. Langflow mérite une attention supplémentaire au-delà du simple correctif en raison des identifiants exfiltrés.

Pourquoi Langflow est-il particulièrement délicat ?

L’outil stocke souvent de véritables accès IA et Cloud et fonctionne fréquemment en dehors de l’IT officielle. Via la faille, ces clés ont pu être extraites, ce qui ouvre la voie vers des environnements Cloud connectés.

Le déploiement des correctifs suffit-il ?

Pour ColdFusion et les extensions Joomla, le correctif ferme la faille. Pour Langflow, s’ajoute la rotation de tous les accès stockés, car ceux-ci peuvent déjà être compromis.

Conseils de lecture de la rédaction

Conseil de lectureVol de jetons OAuth : Comment les attaquants contournent l’authentification MFAConseil de lectureIvanti Connect Secure de nouveau dans la CISA KEV : Troisième incident en 18 moisConseil de lectureLa faille Splunk qui supprime des fichiers sans connexion

Plus du réseau média MBF

cloudmagazinPour la première fois, on peut voir une IA penserMyBusinessFuturePour les fabricants qui veulent plus : Comment une adhésion GTIA renforce l’ensemble du réseau de partenairesDigital ChiefsL’IT décide si le spin-off est rentable

Source de l’image : généré par IA (juillet 2026)

Pour aller plus loin

Pratique & Mise en œuvre · 15 juillet 2026

Contournement de BitLocker en cas d’accès physique

CVE-2026-50661 contourne BitLocker lors d'un accès physique. Score CVSS 6.1, correctif de juillet, checklist pour ordinateurs portables et procédures de perte d'appareil.

Un magazine d'Evernine Media GmbH