Un mot-clé await manquant dans le code de Rocket.Chat, et c’est n’importe quel mot de passe qui devient valide pour n’importe quel compte. C’est l’une des 80 vulnérabilités découvertes par l’agent IA du GitHub Security Lab avant que celui-ci ne soit publié en open source le 6 mars. Le framework, baptisé seclab-taskflow-agent, était utilisé en interne depuis plusieurs mois. GitHub en détaille aujourd’hui le fonctionnement et invite la communauté à s’en emparer.
Le framework ne se contente pas de trier des alertes existantes : il effectue des audits de sécurité généraux de bases de code complètes. Son architecture repose sur une logique « suggestion et audit » en deux temps. Un LLM identifie d’abord les vulnérabilités potentielles composant par composant. Une seconde passe, avec un contexte actualisé et des critères plus stricts, n’en retient que celles pour lesquelles des preuves concrètes dans le code source sont disponibles.
Sur 1 003 problèmes suggérés dans plus de 40 dépôts, 139 ont passé l’étape d’audit. Après déduplication et examen manuel, l’équipe a retenu 19 découvertes de haute gravité et écarté 22 % comme faux positifs. Les bugs de contrôle d’accès et IDOR arrivent en tête (15,8 % de taux de découverte), suivis des problèmes d’authentification (16,5 %) et des erreurs de configuration de sécurité (17,3 %).
Rocket.Chat, WooCommerce, Spree : des failles passées sous les radars pendant des années
La prise la plus spectaculaire reste CVE-2026-28514 dans Rocket.Chat : score CVSS de 9,3, contournement total de l’authentification par mot de passe. La cause était un await oublié lors d’un appel asynchrone à bcrypt.compare, qui renvoyait une Promise plutôt qu’un booléen. JavaScript évaluant toute Promise comme vraie, n’importe quel mot de passe était accepté. La faille a été corrigée dans Rocket.Chat 8.0.0. L’équipe Security Lab avoue avoir eu du mal à y croire au premier abord.
Le framework a également mis au jour des bugs de logique d’autorisation dans WooCommerce (CVE-2025-15033) et dans la plateforme Ruby Spree Commerce (CVE-2026-25758), qui exposaient adresses et données personnelles des clients via l’énumération des paniers et des commandes – des problèmes restés invisibles pendant des années.
Attention tout de même : le cadre (framework) fonctionne dans GitHub Codespaces et nécessite une licence GitHub Copilot. Les flux de tâches en YAML sont conçus pour être étendus et enrichis par la communauté. La présentation initiale du projet datait du 14 janvier.
