CVE-2026-5752 : Cohere Terrarium, sandbox Python RCE abandonne le 22 avril 2026 — j ai audite 4 stacks IA francaises en 12 heures, voici ce qui m a glace

Mercredi 22 avril 2026, en fin de journee, The Hacker News et KSEC Community ont relaye une publication CERT/CC qui est passee largement inaperçue dans le bruit de Cloud Next : CVE-2026-5752, une vulnerabilite de sandbox escape dans Cohere Terrarium, note CVSS 9.3. Le detail qui fait mal : Terrarium n est plus maintenu et la CVE ne recevra aucun correctif. Nous avons passe jeudi matin a auditer quatre stacks IA francais en production pour mesurer l exposition reelle. Deux d entre eux contenaient Terrarium en dependance indirecte, sans le savoir.

Anatomie technique : un sandbox Python ecrit en JavaScript

Terrarium, a l origine, partait d une bonne intention : permettre a un LLM d executer du code Python genere sans deployer un conteneur par requete. L architecture choisie par l equipe originale consiste a interpreter du Python dans un runtime JavaScript via Pyodide, lui meme execute dans un sandbox V8. L idee : garantir l isolation grace a la sandbox V8 tres bien durcie.

Le probleme, comme souvent en securite, vient d un oubli de couche intermediaire. Dans l implementation Terrarium, le code Python execute peut atteindre des objets JavaScript du runtime hote via la prototype chain. Le chercheur Jeremy Brown a demontre que l on peut remonter jusqu au globalThis du processus Node qui execute le sandbox, puis charger dynamiquement n importe quel module natif. Un one-liner suffit alors pour obtenir un reverse shell avec les privileges du conteneur, typiquement root dans les deploiements par defaut.

Le sandbox echoue a prevenir adequatement l acces aux prototypes du global object, permettant au code sandboxe de referencer et manipuler des objets du host environment. — Extrait CERT/CC advisory, 22 avril 2026

Notre avis d expert : le vrai probleme n est pas Terrarium, c est la supply chain IA

Terrarium n est pas un acteur central du marche. Beaucoup d ingenieurs francais ne connaissent meme pas le nom. Mais le projet est integre silencieusement par plusieurs frameworks agentic, plusieurs images Docker de code execution publiees sur Docker Hub, et plusieurs extensions de notebooks IA. La supply chain IA est aujourd hui dans un etat qui rappelle npm en 2018 : dependances transitive opaques, maintainers fantomes, versions pin avec caret. Les discussions NIST NVD du mois dernier renforcent cette analyse.

Qui est expose en France au 23 avril 2026

Nous avons audite quatre stacks IA francais entre le 22 avril au soir et le 23 avril a midi. Client 1 : plateforme SaaS PME avec fonction code interpreter, utilisait Terrarium via un fork d OpenInterpreter non patche. Vulnerable, patch urgent. Client 2 : startup agentic multi agents, utilise E2B directement, pas d exposition Terrarium. Client 3 : image Docker de code sandbox custom, heritage d un ancien fork de Llama-Index incluant Terrarium en dependance de test. Exposition faible mais non nulle. Client 4 : agent interne qui execute des scripts data analytics, utilise Daytona self-hosted. Pas d exposition.

Ratio constate : 1 stack sur 2 contient du code Terrarium, directement ou indirectement. La commande a lancer en urgence sur vos depots : grep -r terrarium package.json requirements.txt Dockerfile sur tous vos repositories, plus un docker pull cohere/terrarium verification sur vos registres internes.

Plan de remediation sur 72 heures

Heure 0 a 4 : audit d exposition. Parcourir tous les depots avec la commande grep ci-dessus, lister les services en production qui exposent un endpoint code execution, meme indirect.

Heure 4 a 24 : si Terrarium expose un endpoint public, desactiver la route. Mettre un garde-fou WAF devant (Cloudflare WAF ou CrowdSec) pour bloquer les patterns prototype chain connus. Activer l audit logs niveau systeme pour surveiller toute execution Node avec des privileges eleves.

Jour 1 a 3 : migration vers alternative. E2B Sandbox est la voie la plus rapide pour POC et pre-production. Daytona self-hosted est la reference pour les workloads souverains regules. Modal et Runloop sont interessants pour des cas de niche. Pour un audit approfondi, nos confreres de WebGuard Agency publient des methodologies specifiques aux chaines IA.

Comparatif rapide des alternatives viables en 2026

E2B : managed, Firecracker-based, SOC 2, tres rapide a integrer via SDK Python et JavaScript. Ideal pour POC, startups. Tarif a l usage, environ 0.00001 USD par seconde de conteneur.

Modal : serverless, Python-first, bonne observabilite. Limite : vendor lock moderne.

Runloop : specifique aux workloads LLM-generated, ajoute des primitives pour gerer les outputs structures et la reproduction.

Daytona self-hosted : open source, deployable sur Kubernetes on-premise ou cloud souverain Scaleway / OVHcloud. Seule option full sovereignty pour les PME francaises regulees NIS2, DORA ou secteurs OIV. C est le choix recommande pour les equipes qui construisent sur un SaaS IA conforme en France.

Notre avis d expert : les 3 heuristiques pour choisir

Un : si vous executez du code de vos utilisateurs finaux (multi-tenant), exigez la conformite SOC 2 Type II et Firecracker ou gVisor. Ecartez toute solution sans isolation kernel-level. Deux : si vous etes en secteur regule (sante, banque, public), privilegiez self-hosted sur cloud souverain, meme au prix d operations supplementaires. Trois : si vous etes en POC precoce, E2B livre en 2 heures, Daytona en 2 jours. Choisissez selon votre budget temps, mais planifiez la migration avant production.

Le signal plus large : la supply chain des outils IA reste immature

CVE-2026-5752 est le troisieme incident majeur de supply chain IA en deux mois apres CVE-2026-39987 sur Marimo et les breaches Vercel Context signalees la semaine derniere. Les ingenieurs francais qui construisent avec des LLM doivent desormais integrer un reflexe CVE sandbox dans leur workflow hebdomadaire : un quart d heure de lecture The Hacker News, CERT/CC et Snyk le lundi matin, et une revue supply chain mensuelle avec OSV-Scanner ou Dependabot.

Chez les agences qui conseillent des developpeurs sur les architectures visionOS ou SaaS IA, cette discipline doit devenir standard. Les equipes qui ne l adoptent pas maintenant paieront la dette technique en 2027 avec des incidents de production.

FAQ : CVE-2026-5752 Cohere Terrarium 22 avril 2026

Qu est-ce que CVE-2026-5752 exactement ?

CVE-2026-5752 est une vulnerabilite critique (CVSS 9.3) publiee le 22 avril 2026 par CERT/CC affectant Cohere Terrarium, un sandbox Python ecrit en JavaScript. Le defaut permet un sandbox escape via traversee de la prototype chain JavaScript, donnant une execution de code arbitraire avec privileges root sur l hote. Le chercheur Jeremy Brown a rapporte la faille.

Pourquoi la CVE ne sera-t-elle jamais patchee ?

Parce que Cohere Terrarium n est plus maintenu activement. Le repository GitHub n a pas reçu de commit majeur depuis plusieurs mois et Cohere a confirme a CERT/CC qu aucune correction n etait prevue. CERT/CC recommande donc de desactiver purement et simplement la fonctionnalite d execution de code par les utilisateurs finaux.

Quelles alternatives securisees a Terrarium pour executer du code LLM-generated ?

Quatre alternatives serieuses. E2B Sandbox : managed, SOC 2, conteneurs Firecracker. Modal : serverless Python sandboxed. Runloop : conçu pour LLM code. Daytona : open source self-hosted sur Kubernetes. Pour un workload regule, Daytona self-hosted reste la reference souveraine. Pour un POC, E2B est le chemin le plus court.

Quels sont les signaux d exposition a surveiller dans un stack francais ?

Trois signaux prioritaires. Un, presence de dependance a des images Docker Cohere Terrarium. Deux, presence de code Python ou JavaScript qui importe terrarium-sandbox. Trois, exposition d un endpoint qui accepte du code utilisateur et le route vers un conteneur Terrarium. Pour les equipes qui executent du code LLM-generated en production, un audit express dans les 72 heures est indispensable.