Des vulnérabilités de sécurité ont été découvertes dans le populaire framework d'intelligence artificielle (IA) open source Chainlit qui pourraient permettre aux attaquants de voler des données sensibles, permettant potentiellement un mouvement latéral au sein d'une organisation vulnérable.
Zafran Security a déclaré que les pannes de haute gravité, collectivement appelées fuite de chaîneIl pourrait être abusé pour divulguer des clés API de l'environnement cloud et voler des fichiers sensibles, ou mener des attaques de falsification de requêtes côté serveur (SSRF) contre des serveurs hébergeant des applications d'IA.
Chainlit est un framework pour créer des chatbots conversationnels. Selon les statistiques partagées par la Python Software Foundation, le package a été téléchargé plus de 220 000 fois au cours de la semaine dernière. Il a attiré à ce jour un total de 7,3 millions de téléchargements.
Les détails des deux vulnérabilités sont les suivants :
- CVE-2026-22218 (Score CVSS : 7,1) – Une vulnérabilité de lecture de fichier arbitraire dans le flux de mise à jour « /project/element » permet à un attaquant authentifié d'accéder au contenu de n'importe quel fichier lisible par le service dans sa propre session en raison d'un manque de validation des champs du contrôleur utilisateur.
- CVE-2026-22219 (Score CVSS : 8,3) – Une vulnérabilité SSRF dans le flux de mise à jour « /project/element » lorsqu'elle est configurée avec le backend de la couche de données SQLAlchemy permet à un attaquant d'envoyer des requêtes HTTP arbitraires aux services réseau internes ou aux points de terminaison de métadonnées cloud à partir du serveur Chainlit et de stocker les réponses récupérées.
“Les deux vulnérabilités Chainlit peuvent être combinées de plusieurs manières pour divulguer des données sensibles, élever les privilèges et se déplacer latéralement au sein du système”, ont déclaré les chercheurs de Zafran, Gal Zaban et Ido Shani. “Une fois qu'un attaquant obtient un accès arbitraire en lecture aux fichiers sur le serveur, la sécurité de l'application d'IA commence rapidement à s'effondrer. Ce qui semble initialement être une faille contenue se transforme en accès direct aux secrets et à l'état interne les plus sensibles du système.”
Par exemple, un attaquant peut utiliser CVE-2026-22218 pour lire « /proc/self/environ », ce qui lui permet d'obtenir des informations précieuses telles que des clés API, des informations d'identification et des chemins de fichiers internes qui pourraient être utilisées pour approfondir le réseau compromis et même accéder au code source de l'application. Alternativement, il peut être utilisé pour filtrer les fichiers de base de données si la configuration utilise SQLAlchemy avec un backend SQLite comme couche de données.
Suite à une divulgation responsable le 23 novembre 2025, Chainlit a corrigé les deux vulnérabilités dans la version 2.9.4 publiée le 24 décembre 2025.
« Alors que les organisations adoptent rapidement des cadres d'IA et des composants tiers, des classes de vulnérabilités logicielles de longue date sont directement intégrées dans l'infrastructure d'IA », a déclaré Zafran. “Ces cadres introduisent de nouvelles surfaces d'attaque, souvent mal comprises, où des classes de vulnérabilités bien connues peuvent directement compromettre les systèmes basés sur l'IA.”
Échec du serveur MCP Microsoft MarkItDown
Cette divulgation intervient alors que BlueRock a révélé une vulnérabilité dans le serveur MarkItDown Model Context Protocol (MCP) de Microsoft, appelée MCP fURI, qui permet des appels d'URI de ressources arbitraires, exposant les organisations à des attaques d'élévation de privilèges, à des SSRF et à des fuites de données. La déficience affecte le serveur lors de l'exécution sur une instance Amazon Web Services (AWS) EC2 à l'aide d'IDMSv1.
“Cette vulnérabilité permet à un attaquant d'exécuter l'outil Markitdown MCP convert_to_markdown pour appeler un identifiant de ressource uniforme (URI) arbitraire”, a déclaré BlueRock. “L'absence de limites sur l'URI permet à tout utilisateur, agent ou attaquant qui appelle l'outil d'accéder à n'importe quelle ressource HTTP ou fichier.”
“En fournissant un URI au serveur Markitdown MCP, celui-ci peut être utilisé pour interroger les métadonnées de l'instance de serveur. Un utilisateur peut ensuite obtenir des informations d'identification pour l'instance si un rôle lui est associé, lui donnant accès au compte AWS, y compris les clés d'accès et secrètes.”
La société de sécurité Agentic AI a déclaré que son analyse de plus de 7 000 serveurs MCP a révélé que plus de 36,7 % d'entre eux sont probablement exposés à des vulnérabilités SSRF similaires. Pour atténuer le risque posé par le problème, il est recommandé d'utiliser IMDSv2 pour se protéger contre les attaques SSRF, de mettre en œuvre un blocage des adresses IP privées, de restreindre l'accès aux services de métadonnées et de créer une liste verte pour empêcher les fuites de données.
