système : OPÉRATIONNEL
← retour aux catégories

INFRASTRUCTURE

(33)

33 hack(s).

INFRASTRUCTURE MEDIUM NEW

Une requête, un crash : une assertion accessible fait tomber les serveurs vLLM

Une requête à embeddings visant un modèle multimodal dans vLLM déclenche une assertion interne et fait fatalement planter tout le serveur d'inférence — un déni de service authentifié corrigé en juillet 2026.

2026-07-17//6 min
INFRASTRUCTURE MEDIUM NEW

Un correctif incomplet : les fuites d'adresses mémoire reviennent dans les routes récentes de vLLM

Le correctif de la faille critique de parsing d'images dans vLLM a assaini le routeur OpenAI — mais des routes ajoutées quelques semaines plus tard renvoient encore le texte brut des exceptions, fuitant des adresses de tas et rouvrant une primitive de contournement d'ASLR.

2026-07-17//7 min
INFRASTRUCTURE CRITICAL NEW

Traversée de chemin dans Langflow : suppression de répertoires arbitraires du serveur

Une traversée de chemin dans l'API de suppression des bases de connaissances de Langflow permet à un utilisateur authentifié d'effacer des répertoires partout où le processus peut écrire. Corrigé en 1.9.0 ; les versions 1.8.4 et antérieures sont exposées.

2026-07-17//6 min
INFRASTRUCTURE CRITICAL NEW

SSRF dans Azure OpenAI : quand un service d'IA managé devient un relais d'élévation de privilèges

Microsoft a divulgué le 2 juillet 2026 une faille critique de type SSRF dans Azure OpenAI. Un utilisateur authentifié pouvait contraindre le service managé à atteindre des points d'accès internes et à élever ses privilèges via le réseau.

2026-07-16//6 min
INFRASTRUCTURE CRITICAL NEW

L'API Docker de Crawl4AI : quand un champ de configuration navigateur devient une RCE non authentifiée

Une faille de juillet 2026 permettait, via un champ de requête d'un crawler LLM populaire, de glisser des options de lancement Chromium et d'exécuter des commandes sur l'hôte — sans authentification, en une seule requête HTTP, CVSS 10.0.

2026-07-16//6 min
INFRASTRUCTURE CRITICAL NEW

ServiceNow AI Platform : une évasion de bac à sable permet l'exécution de code non authentifiée

Le 13 juillet 2026, ServiceNow a corrigé une évasion de bac à sable critique dans sa plateforme d'IA permettant à un attaquant non authentifié d'exécuter du code sur les instances vulnérables. Un rappel : le bac à sable qui entoure une fonctionnalité d'IA est une frontière de sécurité — traitez-le comme telle.

2026-07-16//5 min
INFRASTRUCTURE CRITICAL NEW

Les filtres de métadonnées vectorielles, un puits d'injection dans Spring AI

Spring AI passait des chaînes de filtre et des identifiants de documents contrôlés par l'utilisateur directement dans le langage de requête de chaque base, transformant le filtrage RAG en injection SQL et de requêtes sur cinq bases vectorielles.

2026-07-16//6 min
INFRASTRUCTURE CRITICAL NEW

Pickle sur gRPC : RCE non authentifiée sur un serveur de politique robotique

LeRobot, de Hugging Face, faisait transiter son canal d'inférence robot-vers-politique via pickle sur gRPC non authentifié — tout hôte atteignant le port obtenait l'exécution de code à distance. Le correctif de juin 2026 supprime pickle.

2026-07-15//6 min
INFRASTRUCTURE CRITICAL NEW

Quand le chargeur d'images devient une SSRF : vol de métadonnées cloud sur les nœuds vision-LLM

Une faille SSRF dans une boîte à outils open source populaire de service de LLM a permis de transformer le chargeur d'images d'un modèle vision en scanner des métadonnées cloud et des services internes — exploitée quelques heures après sa divulgation.

2026-07-15//6 min
INFRASTRUCTURE MEDIUM NEW

vLLM : une seule regex peut figer un worker d'inférence

Un avis de juillet 2026 révèle que le paramètre regex des sorties structurées de vLLM compilait les motifs utilisateur sans délai, laissant une requête forgée bloquer un worker et couper le service. Corrigé en 0.24.0.

2026-07-15//5 min
INFRASTRUCTURE CRITICAL NEW

Les endpoints de test MCP de LiteLLM : une injection de commandes désormais activement exploitée

Une faille d'injection de commandes dans les endpoints de test MCP de LiteLLM permet à toute clé API du proxy d'exécuter des commandes sur l'hôte. Corrigée le 8 mai 2026, elle est entrée au catalogue KEV de la CISA le 8 juin après confirmation d'une exploitation active.

2026-07-14//6 min
INFRASTRUCTURE CRITICAL NEW

RCE non authentifiée dans le backend RPC d'inférence distribuée de llama.cpp

Un contrôle de bornes manquant dans le backend RPC de llama.cpp permet à tout client ayant accès au port du serveur de lire et écrire la mémoire du processus et d'obtenir une exécution de code à distance. Corrigé dans b8492.

2026-07-10//6 min
INFRASTRUCTURE MEDIUM NEW

Injection SQL en position d'identifiant dans le gateway MCP d'Amazon

Un avis de juillet 2026 corrige une injection SQL authentifiée dans le gateway MCP open source d'Amazon : un nom de table non filtré, en position d'identifiant, permettait de lire les clés d'API stockées des agents.

2026-07-08//6 min
INFRASTRUCTURE MEDIUM NEW

Les routes audio de vLLM chargent tout l'upload avant de vérifier sa taille

Un avis de juillet 2026 montre que les endpoints de transcription et de traduction de vLLM chargent tout le fichier audio en mémoire avant d'appliquer la limite de taille, permettant à un appelant d'épuiser la mémoire.

2026-07-08//5 min
INFRASTRUCTURE CRITICAL NEW

Détournement de flow inter-tenant dans Langflow : le 9.9 que les attaquants ont ignoré

Sysdig a observé la première exploitation réelle d'une faille Langflow permettant à un utilisateur d'exécuter le flow d'un autre tenant — et ses secrets. Notée plus haut que le RCE voisin, elle a été à peine touchée.

2026-07-03//6 min
INFRASTRUCTURE CRITICAL NEW

RAGFlow CVE-2026-45312 : un modèle de prompt qui exécute des commandes système

Une injection de template Jinja2 dans le générateur de prompts de RAGFlow transforme un champ contrôlé par l'utilisateur en RCE côté serveur. CVSS 9.9, divulguée le 9 mai 2026.

2026-06-20//7 min
INFRASTRUCTURE MEDIUM NEW

SSRF vLLM : quand le correctif d'allowlist reproduit le même bug de parsing

Deux avis vLLM montrent deux fois la même faille : une allowlist d'hôtes validée par un parseur d'URL et la requête envoyée par un autre. Le correctif a changé de parseurs et rouvert le contournement.

2026-06-20//6 min
INFRASTRUCTURE MEDIUM NEW

Path traversal dans LangChain Core : load_prompt lit des fichiers arbitraires

CVE-2026-34070 permet à une config de prompt forgée de parcourir le système de fichiers via load_prompt et d'exposer des secrets .txt/.json/.yaml. Divulguée le 27 mars 2026, corrigée dans langchain-core 1.2.22.

2026-06-19//6 min
INFRASTRUCTURE MEDIUM NEW

La couche de service est la surface d'attaque : bugs de concurrence dans vLLM et SGLang

Un fuzzer de mai 2026, GRIEF, traite des traces de requêtes concurrentes comme entrées et trouve 15 bugs (2 CVE) dans vLLM et SGLang : contamination de sortie entre requêtes, déni de service « voisin bruyant » et crashs différés — sans entrée malformée.

2026-06-19//8 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM CVE-2026-49468 : un contournement d'authentification par en-tête Host dans le routage de la passerelle

Divulguée le 17 juin 2026, CVE-2026-49468 permet à un en-tête Host forgé de désynchroniser la route d'auth de LiteLLM de celle exécutée par FastAPI — une rechute de BadHost au niveau applicatif, corrigée dans LiteLLM 1.84.0.

2026-06-18//6 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM CVE-2026-47101→40217 : d'un compte limité à l'admin et au RCE

Obsidian Security a divulgué (juin 2026) une chaîne de trois failles LiteLLM qui fait passer un utilisateur peu privilégié à proxy_admin puis à l'exécution de code — une prise de contrôle CVSS 9.9 de la passerelle IA.

2026-06-18//7 min
INFRASTRUCTURE CRITICAL NEW

Langflow CVE-2026-5027 : écriture de fichier non authentifiée vers RCE, déjà exploitée

Un path traversal dans l'endpoint /api/v2/files de Langflow permet à une requête non authentifiée d'écrire un fichier n'importe où sur le disque. VulnCheck a confirmé l'exploitation active le 9 juin 2026 ; ~7 000 instances sont exposées.

2026-06-16//6 min
INFRASTRUCTURE CRITICAL NEW

ChromaToast : une RCE pré-auth dans la base vectorielle ChromaDB

La divulgation de HiddenLayer du 18 mai 2026 (CVE-2026-45829, CVSS 10.0) montre que le serveur Python de ChromaDB charge le modèle HuggingFace de l'attaquant et exécute son code avant même de vérifier l'authentification.

2026-06-12//7 min
INFRASTRUCTURE CRITICAL NEW

Les serveurs MCP exposés, tremplins vers la prise de contrôle du cloud

Une injection de commande dans les serveurs MCP cloud (CVE-2026-5058/5059) permet d'atteindre le service de métadonnées, de voler le rôle IAM et de pivoter vers tout le compte cloud.

2026-06-12//6 min
INFRASTRUCTURE CRITICAL NEW

L'entrée multimodale comme surface d'attaque : la RCE du décodeur vidéo de vLLM (CVE-2026-22778)

CVE-2026-22778 transforme une URL vidéo malveillante en exécution de code à distance sur les serveurs vLLM, en chaînant une fuite d'info PIL et un débordement de tas dans le décodeur JPEG2000 de FFmpeg. Corrigé en 0.14.1.

2026-06-12//7 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM CVE-2026-42271 : les endpoints de test MCP mènent à une RCE non authentifiée

Divulguée en avril comme une injection de commande authentifiée, la fonction d'aperçu MCP de LiteLLM devient une RCE non authentifiée une fois chaînée au contournement BadHost de Starlette — ajoutée au KEV de la CISA le 8 juin 2026.

2026-06-10//6 min
INFRASTRUCTURE CRITICAL NEW

L'endpoint de build public de Langflow : RCE non authentifiée armée en 20 heures

CVE-2026-33017 transforme l'endpoint de build public de Langflow en exécution de code à distance non authentifiée. Divulguée le 17 mars 2026, elle était exploitée dans la nature en 20 heures — avant tout PoC public.

2026-06-07//6 min
INFRASTRUCTURE CRITICAL NEW

Le broker ZMQ de SGLang : RCE non authentifiée par désérialisation pickle

Trois CVE divulguées le 12 mars 2026 transforment les appels pickle.loads() de SGLang en exécution de code à distance non authentifiée. Le correctif est arrivé en v0.5.10 — mais la vraie leçon, c'est que pickle sur une socket réseau est une RCE par conception.

2026-06-04//7 min
INFRASTRUCTURE CRITICAL NEW

LightLLM CVE-2026-26220 : du pickle sur un WebSocket que le serveur force sur le réseau

CVE-2026-26220 (divulguée le 15 février 2026) place pickle.loads() sur deux endpoints WebSocket non authentifiés du mode prefill-decode de LightLLM — et le serveur refuse de se lier à localhost, donc la surface est toujours distante.

2026-06-02//6 min
INFRASTRUCTURE CRITICAL NEW

MCPwn (CVE-2026-33032) : un endpoint MCP de nginx-ui livre le serveur web

Un endpoint MCP non authentifié dans nginx-ui ≤ 2.3.3 permet à n'importe quel attaquant réseau de réécrire les configs nginx et de redémarrer le service. CVSS 9.8, divulgation publique le 15 avril 2026, exploitation en environnement réel observée quelques heures après le correctif.

2026-05-29//7 min
INFRASTRUCTURE CRITICAL

BadHost (CVE-2026-48710) : un caractère dans l'en-tête Host suffit à contourner l'auth dans Starlette, vLLM et FastMCP

X41 D-Sec a divulgué le 22 mai 2026 un contournement d'authentification critique dans Starlette < 1.0.1. Un seul / ? ou # dans l'en-tête HTTP Host désynchronise le chemin routé du chemin vu par le middleware, cassant l'autorisation par chemin dans vLLM, LiteLLM, FastMCP et des milliers d'agents IA construits sur FastAPI.

2026-05-27//8 min
INFRASTRUCTURE CRITICAL

LiteLLM CVE-2026-42208 : une injection SQL pré-authentifiée dans la passerelle IA

Divulguée le 20 avril 2026 et exploitée 36 heures après l'indexation de l'avis mondial, CVE-2026-42208 transforme l'en-tête Authorization de LiteLLM en lecture directe sur toutes les clés fournisseur que la passerelle fronte.

2026-05-25//6 min
INFRASTRUCTURE CRITICAL

LMDeploy SSRF : quand un chargeur d'images détourne l'infrastructure IA

CVE-2026-33626 transforme la fonction load_image() de LMDeploy en primitive SSRF générique. Premier exploit observé en 12 heures et 31 minutes après publication de l'avis.

2026-05-22//7 min