CISA dodaje exploity Langflow i Trend Micro Apex One do katalogu KEV

Wprowadzenie do problemu / definicja

Agencja CISA rozszerzyła katalog Known Exploited Vulnerabilities o dwie podatności aktywnie wykorzystywane w rzeczywistych atakach: CVE-2025-34291 w Langflow oraz CVE-2026-34926 w Trend Micro Apex One. Samo umieszczenie luki w katalogu KEV oznacza, że zagrożenie zostało potwierdzone operacyjnie i powinno być traktowane jako priorytet w procesie zarządzania podatnościami.

Sprawa jest istotna, ponieważ dotyczy dwóch różnych klas technologii. Langflow funkcjonuje w szybko rosnącym obszarze narzędzi AI i automatyzacji workflow, natomiast Trend Micro Apex One należy do centralnych systemów ochrony endpointów, których kompromitacja może mieć konsekwencje dla całej organizacji.

W skrócie

• CISA dodała do KEV podatności CVE-2025-34291 oraz CVE-2026-34926.
• CVE-2025-34291 w Langflow może prowadzić do zdalnego wykonania kodu i przejęcia instancji.
• CVE-2026-34926 w Trend Micro Apex One dotyczy obejścia ograniczeń z wykorzystaniem path traversal w środowiskach on-premise.
• W przypadku Apex One skutkiem może być wstrzyknięcie złośliwego kodu dystrybuowanego następnie do agentów.
• Dodanie obu luk do KEV oznacza konieczność pilnej remediacji i przeglądu ekspozycji środowiska.

Kontekst / historia

Katalog KEV pełni praktyczną rolę w priorytetyzacji podatności, które nie tylko istnieją, ale zostały już wykorzystane przez napastników. Dla zespołów bezpieczeństwa to ważny sygnał, że ryzyko nie jest hipotetyczne i może wymagać natychmiastowych działań naprawczych, nawet jeśli luka wcześniej była traktowana jako element standardowego backlogu patch managementu.

W przypadku Langflow problem był wcześniej opisywany jako połączenie błędów projektowych i konfiguracyjnych. Taki model zagrożenia jest szczególnie groźny w środowiskach AI, ponieważ platformy orkiestrujące przepływy pracy często przechowują tokeny API, dane integracyjne oraz konfiguracje łączące wiele usług w jednym miejscu.

Trend Micro Apex One reprezentuje inny scenariusz. Tu luka dotyczy wdrożeń lokalnych i wymaga wcześniejszego dostępu do serwera zarządzającego oraz odpowiednich uprawnień. Mimo wyższego progu wejścia skutki potencjalnej kompromitacji są bardzo poważne, ponieważ atak obejmuje system centralnie sterujący agentami bezpieczeństwa na stacjach końcowych.

Analiza techniczna

CVE-2025-34291 w Langflow nie sprowadza się do pojedynczego błędu, lecz do łańcucha podatności zwiększających wzajemnie swój wpływ. W opisywanym scenariuszu kluczową rolę odgrywa nadmiernie liberalna konfiguracja CORS, brak skutecznej ochrony CSRF oraz endpoint umożliwiający wykonanie kodu. Taka kombinacja pozwala doprowadzić do nieautoryzowanych żądań i wykorzystać logikę aplikacji do przejęcia instancji.

Z perspektywy technicznej szczególnie niebezpieczne jest to, że platformy AI często pełnią funkcję koncentratora integracji. Jeśli napastnik uzyska dostęp do środowiska Langflow, może potencjalnie przejąć nie tylko samą aplikację, ale również sekrety, konfiguracje workflow, poświadczenia do usług zewnętrznych i dostęp do kolejnych komponentów infrastruktury.

CVE-2026-34926 w Trend Micro Apex One została opisana jako podatność typu directory traversal w wersji on-premise. Według dostępnych informacji atak zakłada wcześniejsze uzyskanie dostępu do serwera oraz uprawnień administracyjnych. Następnie możliwa staje się modyfikacja kluczowych elementów wykorzystywanych przez serwer do dystrybucji komponentów i polityk, co może doprowadzić do rozesłania złośliwego kodu do agentów.

Ten model zagrożenia jest szczególnie groźny, ponieważ odwraca podstawową funkcję narzędzia bezpieczeństwa. Zamiast chronić stacje robocze i serwery, przejęta platforma zarządzająca może zostać wykorzystana jako zaufany kanał dostarczania ładunku do wielu hostów jednocześnie.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem exploitu w Langflow jest możliwość pełnego przejęcia instancji oraz kradzieży sekretów aplikacyjnych. W praktyce może to oznaczać nadużycie kluczy API, przejęcie kont usługowych, dostęp do danych użytkowników, a także dalszą penetrację środowisk chmurowych i systemów zintegrowanych z platformą AI.

W przypadku Apex One zagrożenie ma bardziej uprzywilejowany charakter, ale może objąć znacznie większy obszar infrastruktury. Naruszenie serwera zarządzającego agentami ochrony endpointów stwarza ryzyko szybkiej propagacji złośliwego kodu, utrzymania persystencji i ruchu bocznego z wykorzystaniem zaufanego komponentu działającego zwykle z wysokimi uprawnieniami.

Znaczenie operacyjne rośnie dodatkowo po dodaniu obu luk do KEV. To wyraźny sygnał, że organizacje powinny traktować je jako pilny priorytet remediacyjny, a nie element długoterminowego planu aktualizacji.

Rekomendacje

Organizacje korzystające z Langflow powinny zidentyfikować wszystkie wdrożone instancje, zweryfikować ich wersje oraz niezwłocznie zastosować dostępne poprawki. Równolegle warto przeanalizować konfigurację CORS, mechanizmy sesyjne i ochronę przed CSRF, a także ograniczyć ekspozycję interfejsów administracyjnych do sieci zaufanych.

W środowiskach, gdzie Langflow przechowuje tokeny i klucze dostępu do usług zewnętrznych, należy rozważyć natychmiastową rotację sekretów, jeśli istnieje choćby podejrzenie nieautoryzowanego dostępu. Dobrym krokiem jest również segmentacja sieci oraz ograniczenie możliwości wykonywania kodu wyłącznie do ściśle kontrolowanych scenariuszy.

W przypadku Trend Micro Apex One kluczowe znaczenie ma pilne wdrożenie poprawek producenta i ograniczenie dostępu do serwera zarządzającego. System nie powinien być wystawiony do internetu, a dostęp administracyjny powinien być chroniony dodatkowymi warstwami kontroli, takimi jak segmentacja, listy kontroli dostępu i silne uwierzytelnianie.

W obu przypadkach warto przeprowadzić działania huntingowe i przegląd logów pod kątem nietypowych żądań administracyjnych, zmian konfiguracji, nieautoryzowanego uruchamiania kodu oraz anomalii w komunikacji agentów i usług zależnych.

• Zidentyfikować wszystkie podatne instancje i serwery.
• Wdrożyć poprawki oraz środki kompensacyjne bez zbędnej zwłoki.
• Ograniczyć ekspozycję interfejsów zarządzających.
• Rotować sekrety i poświadczenia po potencjalnej kompromitacji.
• Monitorować integralność konfiguracji oraz kanałów dystrybucji do agentów.

Podsumowanie

Dodanie CVE-2025-34291 i CVE-2026-34926 do katalogu KEV pokazuje, że aktywnie wykorzystywane podatności obejmują dziś zarówno nowoczesne platformy AI, jak i klasyczne systemy bezpieczeństwa zarządzane centralnie. W obu przypadkach skutki kompromitacji wykraczają poza pojedynczy host i mogą prowadzić do przejęcia sekretów, eskalacji dostępu oraz szerokiej dystrybucji złośliwego kodu.

Dla zespołów bezpieczeństwa to kolejny sygnał, że priorytetyzacja łatania musi obejmować nie tylko systemy brzegowe, lecz także aplikacje AI, narzędzia orkiestracji oraz platformy odpowiadające za ochronę endpointów w całej organizacji.

Źródła

• https://thehackernews.com/2026/05/cisa-adds-exploited-langflow-and-trend.html
• https://www.obsidiansecurity.com/blog/cve-2025-34291-critical-account-takeover-and-rce-vulnerability-in-the-langflow-ai-agent-workflow-platform
• https://success.trendmicro.com/en-US/solution/KA-0020652
• https://www.cve.org/CVERecord?id=CVE-2025-34291
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog