INFRASTRUCTURE
(33)33 hack(s).
Une requête, un crash : une assertion accessible fait tomber les serveurs vLLM
Une requête à embeddings visant un modèle multimodal dans vLLM déclenche une assertion interne et fait fatalement planter tout le serveur d'inférence — un déni de service authentifié corrigé en juillet 2026.
Un correctif incomplet : les fuites d'adresses mémoire reviennent dans les routes récentes de vLLM
Le correctif de la faille critique de parsing d'images dans vLLM a assaini le routeur OpenAI — mais des routes ajoutées quelques semaines plus tard renvoient encore le texte brut des exceptions, fuitant des adresses de tas et rouvrant une primitive de contournement d'ASLR.
Traversée de chemin dans Langflow : suppression de répertoires arbitraires du serveur
Une traversée de chemin dans l'API de suppression des bases de connaissances de Langflow permet à un utilisateur authentifié d'effacer des répertoires partout où le processus peut écrire. Corrigé en 1.9.0 ; les versions 1.8.4 et antérieures sont exposées.
SSRF dans Azure OpenAI : quand un service d'IA managé devient un relais d'élévation de privilèges
Microsoft a divulgué le 2 juillet 2026 une faille critique de type SSRF dans Azure OpenAI. Un utilisateur authentifié pouvait contraindre le service managé à atteindre des points d'accès internes et à élever ses privilèges via le réseau.
L'API Docker de Crawl4AI : quand un champ de configuration navigateur devient une RCE non authentifiée
Une faille de juillet 2026 permettait, via un champ de requête d'un crawler LLM populaire, de glisser des options de lancement Chromium et d'exécuter des commandes sur l'hôte — sans authentification, en une seule requête HTTP, CVSS 10.0.
ServiceNow AI Platform : une évasion de bac à sable permet l'exécution de code non authentifiée
Le 13 juillet 2026, ServiceNow a corrigé une évasion de bac à sable critique dans sa plateforme d'IA permettant à un attaquant non authentifié d'exécuter du code sur les instances vulnérables. Un rappel : le bac à sable qui entoure une fonctionnalité d'IA est une frontière de sécurité — traitez-le comme telle.
Les filtres de métadonnées vectorielles, un puits d'injection dans Spring AI
Spring AI passait des chaînes de filtre et des identifiants de documents contrôlés par l'utilisateur directement dans le langage de requête de chaque base, transformant le filtrage RAG en injection SQL et de requêtes sur cinq bases vectorielles.
Pickle sur gRPC : RCE non authentifiée sur un serveur de politique robotique
LeRobot, de Hugging Face, faisait transiter son canal d'inférence robot-vers-politique via pickle sur gRPC non authentifié — tout hôte atteignant le port obtenait l'exécution de code à distance. Le correctif de juin 2026 supprime pickle.
Quand le chargeur d'images devient une SSRF : vol de métadonnées cloud sur les nœuds vision-LLM
Une faille SSRF dans une boîte à outils open source populaire de service de LLM a permis de transformer le chargeur d'images d'un modèle vision en scanner des métadonnées cloud et des services internes — exploitée quelques heures après sa divulgation.
vLLM : une seule regex peut figer un worker d'inférence
Un avis de juillet 2026 révèle que le paramètre regex des sorties structurées de vLLM compilait les motifs utilisateur sans délai, laissant une requête forgée bloquer un worker et couper le service. Corrigé en 0.24.0.
Les endpoints de test MCP de LiteLLM : une injection de commandes désormais activement exploitée
Une faille d'injection de commandes dans les endpoints de test MCP de LiteLLM permet à toute clé API du proxy d'exécuter des commandes sur l'hôte. Corrigée le 8 mai 2026, elle est entrée au catalogue KEV de la CISA le 8 juin après confirmation d'une exploitation active.
RCE non authentifiée dans le backend RPC d'inférence distribuée de llama.cpp
Un contrôle de bornes manquant dans le backend RPC de llama.cpp permet à tout client ayant accès au port du serveur de lire et écrire la mémoire du processus et d'obtenir une exécution de code à distance. Corrigé dans b8492.
Injection SQL en position d'identifiant dans le gateway MCP d'Amazon
Un avis de juillet 2026 corrige une injection SQL authentifiée dans le gateway MCP open source d'Amazon : un nom de table non filtré, en position d'identifiant, permettait de lire les clés d'API stockées des agents.
Les routes audio de vLLM chargent tout l'upload avant de vérifier sa taille
Un avis de juillet 2026 montre que les endpoints de transcription et de traduction de vLLM chargent tout le fichier audio en mémoire avant d'appliquer la limite de taille, permettant à un appelant d'épuiser la mémoire.
Détournement de flow inter-tenant dans Langflow : le 9.9 que les attaquants ont ignoré
Sysdig a observé la première exploitation réelle d'une faille Langflow permettant à un utilisateur d'exécuter le flow d'un autre tenant — et ses secrets. Notée plus haut que le RCE voisin, elle a été à peine touchée.
RAGFlow CVE-2026-45312 : un modèle de prompt qui exécute des commandes système
Une injection de template Jinja2 dans le générateur de prompts de RAGFlow transforme un champ contrôlé par l'utilisateur en RCE côté serveur. CVSS 9.9, divulguée le 9 mai 2026.
SSRF vLLM : quand le correctif d'allowlist reproduit le même bug de parsing
Deux avis vLLM montrent deux fois la même faille : une allowlist d'hôtes validée par un parseur d'URL et la requête envoyée par un autre. Le correctif a changé de parseurs et rouvert le contournement.
Path traversal dans LangChain Core : load_prompt lit des fichiers arbitraires
CVE-2026-34070 permet à une config de prompt forgée de parcourir le système de fichiers via load_prompt et d'exposer des secrets .txt/.json/.yaml. Divulguée le 27 mars 2026, corrigée dans langchain-core 1.2.22.
La couche de service est la surface d'attaque : bugs de concurrence dans vLLM et SGLang
Un fuzzer de mai 2026, GRIEF, traite des traces de requêtes concurrentes comme entrées et trouve 15 bugs (2 CVE) dans vLLM et SGLang : contamination de sortie entre requêtes, déni de service « voisin bruyant » et crashs différés — sans entrée malformée.
LiteLLM CVE-2026-49468 : un contournement d'authentification par en-tête Host dans le routage de la passerelle
Divulguée le 17 juin 2026, CVE-2026-49468 permet à un en-tête Host forgé de désynchroniser la route d'auth de LiteLLM de celle exécutée par FastAPI — une rechute de BadHost au niveau applicatif, corrigée dans LiteLLM 1.84.0.
LiteLLM CVE-2026-47101→40217 : d'un compte limité à l'admin et au RCE
Obsidian Security a divulgué (juin 2026) une chaîne de trois failles LiteLLM qui fait passer un utilisateur peu privilégié à proxy_admin puis à l'exécution de code — une prise de contrôle CVSS 9.9 de la passerelle IA.
Langflow CVE-2026-5027 : écriture de fichier non authentifiée vers RCE, déjà exploitée
Un path traversal dans l'endpoint /api/v2/files de Langflow permet à une requête non authentifiée d'écrire un fichier n'importe où sur le disque. VulnCheck a confirmé l'exploitation active le 9 juin 2026 ; ~7 000 instances sont exposées.
ChromaToast : une RCE pré-auth dans la base vectorielle ChromaDB
La divulgation de HiddenLayer du 18 mai 2026 (CVE-2026-45829, CVSS 10.0) montre que le serveur Python de ChromaDB charge le modèle HuggingFace de l'attaquant et exécute son code avant même de vérifier l'authentification.
Les serveurs MCP exposés, tremplins vers la prise de contrôle du cloud
Une injection de commande dans les serveurs MCP cloud (CVE-2026-5058/5059) permet d'atteindre le service de métadonnées, de voler le rôle IAM et de pivoter vers tout le compte cloud.
L'entrée multimodale comme surface d'attaque : la RCE du décodeur vidéo de vLLM (CVE-2026-22778)
CVE-2026-22778 transforme une URL vidéo malveillante en exécution de code à distance sur les serveurs vLLM, en chaînant une fuite d'info PIL et un débordement de tas dans le décodeur JPEG2000 de FFmpeg. Corrigé en 0.14.1.
LiteLLM CVE-2026-42271 : les endpoints de test MCP mènent à une RCE non authentifiée
Divulguée en avril comme une injection de commande authentifiée, la fonction d'aperçu MCP de LiteLLM devient une RCE non authentifiée une fois chaînée au contournement BadHost de Starlette — ajoutée au KEV de la CISA le 8 juin 2026.
L'endpoint de build public de Langflow : RCE non authentifiée armée en 20 heures
CVE-2026-33017 transforme l'endpoint de build public de Langflow en exécution de code à distance non authentifiée. Divulguée le 17 mars 2026, elle était exploitée dans la nature en 20 heures — avant tout PoC public.
Le broker ZMQ de SGLang : RCE non authentifiée par désérialisation pickle
Trois CVE divulguées le 12 mars 2026 transforment les appels pickle.loads() de SGLang en exécution de code à distance non authentifiée. Le correctif est arrivé en v0.5.10 — mais la vraie leçon, c'est que pickle sur une socket réseau est une RCE par conception.
LightLLM CVE-2026-26220 : du pickle sur un WebSocket que le serveur force sur le réseau
CVE-2026-26220 (divulguée le 15 février 2026) place pickle.loads() sur deux endpoints WebSocket non authentifiés du mode prefill-decode de LightLLM — et le serveur refuse de se lier à localhost, donc la surface est toujours distante.
MCPwn (CVE-2026-33032) : un endpoint MCP de nginx-ui livre le serveur web
Un endpoint MCP non authentifié dans nginx-ui ≤ 2.3.3 permet à n'importe quel attaquant réseau de réécrire les configs nginx et de redémarrer le service. CVSS 9.8, divulgation publique le 15 avril 2026, exploitation en environnement réel observée quelques heures après le correctif.
BadHost (CVE-2026-48710) : un caractère dans l'en-tête Host suffit à contourner l'auth dans Starlette, vLLM et FastMCP
X41 D-Sec a divulgué le 22 mai 2026 un contournement d'authentification critique dans Starlette < 1.0.1. Un seul / ? ou # dans l'en-tête HTTP Host désynchronise le chemin routé du chemin vu par le middleware, cassant l'autorisation par chemin dans vLLM, LiteLLM, FastMCP et des milliers d'agents IA construits sur FastAPI.
LiteLLM CVE-2026-42208 : une injection SQL pré-authentifiée dans la passerelle IA
Divulguée le 20 avril 2026 et exploitée 36 heures après l'indexation de l'avis mondial, CVE-2026-42208 transforme l'en-tête Authorization de LiteLLM en lecture directe sur toutes les clés fournisseur que la passerelle fronte.
LMDeploy SSRF : quand un chargeur d'images détourne l'infrastructure IA
CVE-2026-33626 transforme la fonction load_image() de LMDeploy en primitive SSRF générique. Premier exploit observé en 12 heures et 31 minutes après publication de l'avis.