Агентство по кибербезопасности и защите инфраструктуры США (CISA) расширило свой каталог известных эксплуатируемых уязвимостей (KEV). На этот раз в список попали две находки, представляющие серьезную угрозу для организаций, использующих открытую платформу Langflow и антивирусное решение Trend Micro Apex One (локальная версия). Решение CISA основано на доказательствах активных атак, что требует немедленных действий от ответственных за информационную безопасность.
Детали уязвимостей
Первая уязвимость с идентификатором CVE-2025-34291 затрагивает Langflow - популярный инструмент для построения цепочек обработки данных на основе больших языковых моделей. Критический уровень опасности (оценка 9,4 по шкале CVSS, общепринятая система оценки уязвимостей) объясняется возможностью полного удаленного захвата системы. Проблема заключается в некорректной настройке механизма CORS (Cross-Origin Resource Sharing, технология, контролирующая межсайтовые запросы). Разработчики разрешили запросы с любых источников (allow_origins='*') при одновременном включении передачи учетных данных (allow_credentials=True). Кроме того, cookie для обновления токенов были настроены с атрибутом SameSite=None, что позволяло отправлять их в межсайтовых запросах. В результате вредоносный веб-сайт может выполнить запрос к серверу Langflow от имени жертвы, получить новые токены доступа и затем использовать встроенную функцию выполнения произвольного кода. Злоумышленник, таким образом, получает полный контроль над уязвимым узлом.
Уязвимы все версии Langflow от начальной до 1.6.9 включительно. Разработчики уже выпустили обновление, закрывающее этот вектор. Однако, судя по появлению в каталоге CISA, атаки с использованием данной ошибки уже фиксируются. Организациям, применяющим Langflow, следует немедленно обновить платформу до актуальной версии. Кроме того, стоит проверить логи на предмет необычных межсайтовых запросов и несанкционированного доступа к API.
Вторая уязвимость, CVE-2026-34926, относится к локальной версии антивирусного продукта Trend Micro Apex One (версии с 2019 (14.0) до 14.0.0.17079). Это уязвимость типа обход каталога (directory traversal, когда злоумышленник может выйти за пределы разрешенной файловой структуры). Описание CVE указывает, что локальный злоумышленник, уже имеющий административные права доступа к серверу Apex One (полученные другим способом), способен модифицировать ключевую таблицу на сервере. Это позволяет внедрить вредоносный код, который затем будет развернут на всех агентах, управляемых данным сервером. Иными словами, атакующий может скомпрометировать всю защищаемую сеть, распространив свою полезную нагрузку (payload) через доверенное обновление.
Важно подчеркнуть, что для эксплуатации этой уязвимости злоумышленник уже должен иметь права администратора на сервере. Тем не менее, если такие учётные данные скомпрометированы (например, через фишинг или утечку), данная ошибка становится мощным инструментом для эскалации атаки. Trend Micro выпустила исправления для локальной версии - обновление 14.0.0.17079, а для облачной версии Apex One as a Service - версию 14.0.20731. Пользователям необходимо установить эти патчи в первую очередь. Дополнительно стоит усилить контроль доступа к серверу Apex One и использовать многофакторную аутентификацию для административных учетных записей.
Обе уязвимости объединяет одно: они уже активно эксплуатируются в дикой природе. CISA, как головное агентство США по кибербезопасности, настоятельно рекомендует всем федеральным гражданским агентствам и коммерческим организациям применить обновления в кратчайшие сроки. Промедление в данном случае может привести к серьезным инцидентам - от кражи данных до полного захвата инфраструктуры.
В контексте Langflow особенно тревожит тот факт, что платформа часто используется в средах обработки конфиденциальных данных, включая интеграцию с искусственным интеллектом. Атака через CORS-уязвимость может не только скомпрометировать сам сервер, но и открыть доступ к связанным базам данных и API. Для Trend Micro Apex One риск заключается в том, что антивирусное решение само становится вектором атаки, распространяя вредоносный код на доверенные рабочие станции.
Специалистам по информационной безопасности следует незамедлительно проверить версии используемого ПО и применить соответствующие исправления. Рекомендуется также провести ревизию журналов событий на предмет признаков эксплуатации описанных ошибок. Особое внимание стоит уделить журналам межсетевого экрана и системам обнаружения вторжений (IDS, инструменты, выявляющие подозрительную активность в сети). Только комплексные меры позволят минимизировать риски, связанные с этими новыми угрозами.
Кибербезопасность требует постоянной бдительности. Актуализация списка эксплуатируемых уязвимостей CISA - это не просто бюрократическая процедура, а сигнал тревоги для всего сообщества. Проигнорировать его может означать стать следующей жертвой атаки.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-34926
- https://www.cve.org/CVERecord?id=CVE-2025-34291
- https://www.cisa.gov/news-events/alerts/2026/05/21/cisa-adds-two-known-exploited-vulnerabilities-catalog
