Une faille dans Streamlit expose les tableaux de bord financiers à la manipulation
Cato Networks a dévoilé une vulnérabilité critique dans Streamlit, le framework open source largement utilisé pour développer des applications de données et des tableaux de bord interactifs. La faille, identifiée dans la fonction st.file_uploader, permet de contourner les restrictions de type de fichier et peut conduire, sur des instances cloud mal configurées, à une prise de contrôle complète de l’environnement.
Les chercheurs de l’équipe Cato CTRL ont démontré comment un attaquant pouvait exploiter cette faiblesse pour falsifier des tableaux de bord boursiers en temps réel, injecter de faux signaux financiers ou exfiltrer des données sensibles. Dans un scénario de test, ils montrent qu’un simple tableau de bord manipulé pourrait suffire à semer la panique sur les marchés.
Découverte en février 2025, la faille a été corrigée dans la version 1.43.2 de Streamlit publiée en mars. Mais selon Cato, la vulnérabilité n’a toujours pas été officiellement reconnue comme faille de sécurité par l’éditeur, et la demande de CVE déposée auprès de MITRE reste sans réponse.
L’impact potentiel dépasse le cadre d’une instance isolée : l’intégration de Streamlit dans de nombreuses plateformes élargit la surface d’attaque et soulève des questions sur la sécurité de la chaîne d’approvisionnement logicielle. Les chercheurs rappellent toutefois que la compromission dépend largement de la configuration des environnements cloud et que les mesures de protection — contrôle des accès, pare-feu, permissions — incombent aux clients.
Cette affaire illustre une fois encore la fragilité des applications open source lorsqu’elles sont déployées dans des environnements critiques sans garde-fous suffisants.
