Chainlit, un outil open source très utilisé pour monter des interfaces conversationnelles et orchestrer des composants IA, a été au centre d'une alerte de sécurité qui devrait allumer les alarmes dans les organisations qui l'ont exposée à Internet. Zafran Les chercheurs en laboratoire ont identifié deux défaillances à haute gravité qui, combinées, permettent de lire tout fichier accessible par le serveur à forcer les demandes sortantes à sonder les réseaux internes, ouvrant la porte aux fuites de secrets et aux mouvements latéraux dans les environnements nuageux. Vous pouvez lire le rapport technique des découvreurs dans la publication de Zafran Labs: ChainLeak - Zafran Labs.
Avant d'entrer dans les détails techniques, il convient de mettre en contexte l'ampleur du problème: Chainlit est un projet avec une utilisation remarquable en Python, s'accumulant autour 700 000 téléchargements mensuels en PyPI et sont souvent trouvés dans des déploiements d'entreprises et d'environnements académiques qui exposent des interfaces de chat aux utilisateurs ou intègrent des assistants dans des flux productifs. Sa nature de "front + backend" pour chatbots et son intégration avec authentification, sessions et déploiement cloud en font un vecteur attrayant quand il est mal configuré ou vulnérable.
Les deux défaillances susmentionnées ont reçu des identifiants officiels dans la base de vulnérabilité NIST: la première, une lecture arbitraire des fichiers, apparaît comme CVE-2026-22218, et la seconde, une vulnérabilité de type SSRF qui permet au serveur de faire des requêtes aux URL contrôlées par l'attaquant, apparaît comme CVE-2026-22219.
Concrètement, CVE-2026-22218 est exploité à travers un point d'extension pour les éléments personnalisés que Chainlit expose dans la route / projet / élément: un attaquant peut envoyer un élément avec un champ 'path' et faire copier le fichier de cette route à la session de l'attaquant, sans que le contenu passe par des vérifications suffisantes. L'effet est qu'un acteur malveillant peut lire des fichiers auxquels le processus Chainlit a accès, y compris les clés API, les identifiants de compte cloud, le code source, les fichiers de configuration, les bases de données SQLite locales et les secrets d'authentification.
Pour sa part, CVE-2026-22219 affecte les installations utilisant la couche de données SQLAlchemy. Là, le mécanisme permet à un élément personnalisé d'inclure un champ 'url' et force le serveur à faire une requête GET dans cette direction et stocker la réponse. Cette capacité de faire des requêtes sortantes est traduite dans un SSRF classique : de la liste et de la consultation des services internes et des métadonnées du cloud à l'apport de réponses qui peuvent ensuite être téléchargées par l'attaquant à partir des paramètres des éléments.
La chose la plus inquiétante montrée par Zafran Labs est que les deux défaillances peuvent être enchaînées : SSRF, par exemple, permet l'accès aux métadonnées de l'infrastructure ou aux paramètres internes qui renvoient des identifiants, tandis que la lecture arbitraire peut extraire des fichiers critiques une fois que l'attaquant a grimpé l'information. Dans leur démonstration, les chercheurs décrivent un flux qui culmine dans le plein engagement et les mouvements latéraux dans les environnements nuageux, un scénario critique pour toute organisation qui dépend d'identités et de secrets pour l'orchestration des ressources.
Les découvreurs ont informé les mainteneurs Chainlit le 23 novembre 2025 et ont reçu une réponse le 9 décembre 2025; les corrections ont été publiées le 24 décembre 2025 dans la version 2.9.4. Depuis, la branche a continué à recevoir la maintenance et la version stable la plus récente est la 2.9.6. La recommandation immédiate et prioritaire pour l'équipement affecté est de mettre à jour à la 2.9.4 ou, de préférence, à la version la plus récente disponible.
Si par les restrictions de compatibilité il n'est pas possible d'appliquer le patch immédiatement, il y a des mesures compensatoires qui réduisent le risque : exécuter des instances Chainlit avec des autorisations de fichiers strictes et des comptes de service de confiance minimum, bloquer le trafic sortant des conteneurs ou des machines qui hébergent Chainlit par des règles de réseau ou des proxys de sortie, protéger les paramètres avec une authentification forte et WAF, désactiver ou restreindre la fonctionnalité qui vous permet de télécharger ou d'enregistrer des éléments personnalisés, et auditer l'accès et la connexion à la recherche de modèles anormales. Il est également crucial de faire pivoter les clés et les secrets qui auraient pu être exposés et d'examiner les systèmes internes qui peuvent être consultés par le biais du SSRF.
Au-delà de l'atténuation immédiate, cet incident met en lumière les leçons de sécurité qui s'appliquent à toute plate-forme qui expose des interfaces pour exécuter ou traiter du contenu envoyé par l'utilisateur. Validation stricte des entrées, principes de privilège minimum et contrôles d'évacuation (sortie réseau) doit faire partie de l'architecture lors du déploiement de logiciels prenant en charge des extensions ou des éléments définis par des tiers. De plus, l'intégration de tests de sécurité dynamiques et d'examens de code pour les points qui traitent les routes de fichiers ou l'effacement d'URL aide à identifier des classes de défauts similaires avant qu'ils n'atteignent la production.
Pour les équipes d'intervention en cas d'incident, il convient de générer des indicateurs d'engagement liés aux itinéraires et aux paramètres susmentionnés, d'examiner le journal d'accès à / projet / élément et autres paramètres d'éléments, de vérifier si des fichiers sensibles ont été téléchargés et de vérifier le trafic sortant inhabituel des instances concernées. Si une activité suspecte est détectée, il est sage d'isoler l'instance, de saisir la mémoire et le système de fichiers pour analyse et de procéder à la rotation des références avec un impact possible sur les services dépendants.
La communauté de sécurité et les responsables des plateformes cloud devraient noter comment les composants d'infrastructure "friendly" pour les développeurs, tels que les cadres de chat IA, peuvent devenir des vecteurs critiques s'ils ne sont pas correctement isolés. À cet égard, il est utile d'examiner les lignes directrices et les bonnes pratiques en matière d'atténuation des risques et de protection des secrets : les ressources telles que les pages CVE et les rapports techniques fournissent un contexte vérifiable, par exemple dans l'entrée NVD sur ces vulnérabilités et dans la note technique Zafran Labs mentionnée ci-dessus.
Enfin, pour ceux qui utilisent Chainlit dans la production, le chemin est clair: mettre à jour la version parcheed dès que possible, vérifier l'exposition potentielle, faire pivoter les secrets et resserrer les contrôles réseau et les autorisations. La vitesse d'application de ces étapes réduit considérablement la fenêtre d'exposition contre les attaquants qui pourraient exploiter les défaillances connues et documentées. La tenue d'un inventaire à jour des logiciels exposés et de leurs dépendances, et l'inscription à un processus de notification rapide aux responsables internes et à l'équipement, aideront à remédier aux vulnérabilités futures avec moins d'impact.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...