Quatre lacunes dans le KEV – une tire les clés du cloud
Le 7 juillet, l’agence américaine CISA a intégré quatre vulnérabilités activement exploitées à son catalogue KEV et a accordé trois jours aux administrations fédérales pour appliquer les correctifs. Sont concernés Adobe ColdFusion, deux CMS Joomla et Langflow, un outil de création d’agents IA. Pour les équipes de sécurité allemandes, cette liste ne constitue pas une simple mesure administrative américaine. Elle est un signal de priorisation.
Les points clés en bref
- Quatre en un jour. CISA répertorie ColdFusion, Langflow et deux générateurs de pages Joomla comme activement exploités ; le délai imparti aux agences américaines expirait le 10 juillet.
- L’exploitation pèse plus lourd que le score. Une entrée KEV documente une attaque réelle. Il s’agit d’un argument de correctif plus solide qu’une simple valeur CVSS élevée.
- Les outils d’IA visés. Langflow figure au catalogue pour la deuxième fois. Les attaquants ont utilisé la faille pour extraire des clés cloud et IA.
À lire aussi : Type Confusion dans V8 de Chrome : La faille qui revient toujours · La porte dérobée dans presque tous les contrats d’hébergement web allemands
Quatre vulnérabilités, un délai de trois jours
Que est le catalogue CISA-KEV ? La liste des vulnérabilités connues exploitées (Known Exploited Vulnerabilities) répertorie les failles pour lesquelles l’agence américaine CISA a prouvé une exploitation réelle. Une entrée correspond à une attaque observée sur le terrain, étayée par des incidents concrets.
Trois des quatre entrées affichent la note maximale de 10,0, tandis que le cas Langflow obtient 9,9. Pour Adobe ColdFusion, une erreur de traversée de chemin permet l’exécution de code tiers ; Adobe n’a distribué le correctif que le 30 juin. Deux extensions Joomla, SP Page Builder et Page Builder CK, peuvent être détournées sans authentification via un téléchargement de fichier. Mais une entrée se distingue particulièrement.
| Produit | CVE | CVSS | Vulnérabilité | Version corrigée |
|---|---|---|---|---|
| Adobe ColdFusion | CVE-2026-48282 | 10.0 | Traversée de chemin, exécution de code | Mise à jour 2025 10 / Mise à jour 2023 21 |
| Langflow | CVE-2026-55255 | 9.9 | Accès inter-locataires (IDOR) | 1.9.1 |
| SP Page Builder | CVE-2026-48908 | Téléchargement de fichier sans connexion, RCE | Téléchargement de fichier sans connexion, RCE | 6.6.2 |
| Page Builder CK | CVE-2026-56290 | 10.0 | Téléchargement de fichier sans connexion, RCE | 3.6.0 |
Le court délai n’est pas un hasard. Depuis la nouvelle directive BOD 26-04, CISA hiérarchise selon le risque plutôt que selon une fenêtre temporelle fixe. Lorsque la surface d’attaque, le statut KEV et les dommages techniques convergent, trois jours seulement sont accordés. Les entreprises allemandes ne sont pas liées par ce délai. Le signal indiquant quelles vulnérabilités sont réellement attaquées en ce moment reste toutefois valable.
Pourquoi précisément un kit de construction IA
Langflow est un outil open source permettant aux équipes de créer visuellement des workflows LLM et des agents IA. Ces instances fonctionnent souvent en auto-hébergement dans le développement, avec de véritables identifiants de connexion stockés. C’est précisément ce qui leur donne de la valeur.
La vulnérabilité CVE-2026-55255 est une erreur d’accès entre locataires. Un attaquant exécute des workflows appartenant à autrui via une clé de flux étrangère. Les chercheurs en sécurité de Sysdig ont observé comment les attaquants utilisaient cette voie pour soutirer les clés stockées via des invites : les accès OpenAI, Anthropic et AWS partaient vers l’extérieur. Un outil de développement compromis devient ainsi un tremplin vers le cloud.
Il est remarquable de constater la répétition. Déjà en mars, Langflow figurait dans le catalogue avec une autre vulnérabilité critique. Cette deuxième entrée en quelques mois révèle un schéma : les outils de développement IA deviennent leur propre surface d’attaque, souvent installés en contournant le service de sécurité.
Ce que l’entrée signifie pour les équipes allemandes
Formellement, le délai de la CISA ne lie que les agences fédérales américaines. En pratique, de nombreuses équipes allemandes considèrent déjà le catalogue KEV comme un système d’alerte précoce. Il répond à la question que les modèles de notation internes laissent ouverte : quelle vulnérabilité est effectivement exploitée en ce moment ?
Cette question a du poids car l’écart entre l’attaque et la réaction se creuse. Pourquoi un score CVSS élevé ne détermine pas à lui seul l’ordre, nous l’avons traité en détail ailleurs. Ce qui compte ici, c’est le point pratique : une entrée KEV est la preuve qui transforme une tâche facultative en tâche obligatoire.
La première étape est peu spectaculaire et pourtant la plus importante : savoir ce qui tourne. Sans inventaire à jour, chaque alerte KEV reste abstraite.
À vérifier immédiatement
- ✓Comparer l'inventaire : ColdFusion, Langflow ou l'une des deux extensions Joomla tournent-ils dans l'organisation ? Dans quelle version ?
- ✓Installer les correctifs : ColdFusion 2025 Update 10 ou 2023 Update 21, Langflow 1.9.1, SP Page Builder 6.6.2, Page Builder CK 3.6.0.
- ✓Pour Langflow, faire pivoter tous les accès enregistrés : OpenAI, Anthropic, AWS et clés de base de données.
- ✓Vérifier les journaux : appels d'upload inattendus sur Joomla, exécutions de flux étrangères sur Langflow.
- ✓Traiter d'abord les instances accessibles publiquement, les systèmes internes ensuite.
Pour Langflow, le correctif ne suffit pas. Quiconque a utilisé la version concernée doit partir du principe que des identifiants ont fui. La rotation des clés fait partie du traitement, pas d’un cycle de maintenance ultérieur.
Foire aux questions
Chaque question est verrouillée. Un simple clic déverrouille la réponse.
Que signifie l’ajout au catalogue KEV ?
La CISA n’ajoute une vulnérabilité que si son exploitation réelle est prouvée. Cette inscription confirme donc une attaque avérée sur le terrain, et non un risque théorique. C’est ce qui la distingue d’un simple score CVSS.
Le délai de la CISA s’applique-t-il également aux entreprises allemandes ?
Juridiquement, non. Ce délai ne lie que les agences fédérales américaines. Cependant, de nombreuses équipes de sécurité allemandes utilisent ce catalogue comme signal d’alerte précoce, car il prouve quelles failles sont activement exploitées à l’heure actuelle.
Laquelle de ces quatre failles est la plus urgente ?
Cela dépend de votre propre infrastructure. Les serveurs ColdFusion accessibles publiquement et les sites Joomla non protégés sont immédiatement exposés. Langflow mérite une attention supplémentaire, au-delà du simple correctif, en raison des identifiants qui ont fui.
Pourquoi Langflow est-il particulièrement critique ?
Cet outil stocke souvent de véritables accès à l’IA et au cloud, et fonctionne fréquemment en dehors du périmètre officiel de la DSI. Cette faille permettrait d’extraire ces clés, ouvrant ainsi la voie aux environnements cloud connectés.
L’application des correctifs suffit-elle ?
Pour ColdFusion et les extensions Joomla, le correctif comble la faille. Pour Langflow, il faut y ajouter la rotation de tous les identifiants enregistrés, car ceux-ci peuvent avoir déjà été compromis.
Suggestions de la rédaction
SuggestionVol de jetons OAuth : comment les attaquants contournent l’authentification multifacteurSuggestionIvanti Connect Secure de nouveau dans le catalogue CISA KEV : troisième incident en 18 moisSuggestionLa faille Splunk qui supprime des fichiers sans authentification
Plus d’articles du réseau MBF Media
cloudmagazinPour la première fois, on peut regarder une IA réfléchirMyBusinessFuturePour les fabricants qui veulent plus – Comment l’adhésion GTIA renforce tout le réseau de partenairesDigital ChiefsL’informatique décide si le spin-off est rentable
Source de l’image : générée par IA (juillet 2026)





