La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves dos fallas de seguridad que afectan a Langflow y Trend Micro Apex One a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Las vulnerabilidades en cuestión son las siguientes.
CVE-2025-34291 (Puntuación CVSS: 9,4): una vulnerabilidad de error de validación de origen en Langflow podría permitir a un atacante ejecutar código arbitrario y comprometer todo el sistema. CVE-2026-34926 (Puntuación CVSS: 6,7): una vulnerabilidad de cruce de directorio en la versión local de Trend Micro Apex One podría permitir que un atacante local previamente autenticado modifique la tabla de claves en el servidor e inyecte código malicioso, que luego podría implementarse en agentes en las instalaciones afectadas.
Obsidian Security dijo en un informe publicado en diciembre de 2025 que CVE-2025-34291 explota una combinación de tres debilidades: CORS demasiado permisivo, falta de protección contra falsificación de solicitudes entre sitios (CSRF) y puntos finales que permiten la ejecución de código por diseño.
«El impacto es grave. Un exploit exitoso no sólo podría comprometer una instancia de Langflow, sino también exponer todos los tokens de acceso sensibles y claves API almacenados en el espacio de trabajo», dijo la compañía en ese momento. «Esto podría conducir a una violación en cascada en todos los servicios integrados dentro de los entornos de nube y SaaS».
Ctrl-Alt-Intel dijo en un informe publicado en marzo de 2026 que la vulnerabilidad fue explotada por un grupo de piratas informáticos iraní llamado MuddyWater para obtener acceso inicial a redes específicas.
Con respecto a CVE-2026-34926, Trend Micro afirma que ha «observado al menos un caso de intento de explotar una de estas vulnerabilidades en la naturaleza».
«Esta vulnerabilidad sólo se puede explotar en las versiones locales de Apex One, y para explotar esta vulnerabilidad, un atacante potencial necesitaría tener acceso al servidor Apex One y tener credenciales administrativas para el servidor a través de otros medios», agregó.
En vista de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 4 de junio de 2026 para aplicar las correcciones necesarias para proteger sus redes.
Source link
