La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el jueves dos fallas de seguridad que afectan a Langflow y Trend Micro Apex One a su catálogo de vulnerabilidades explotadas conocidas (KEV), citando evidencia de explotación activa.
Las vulnerabilidades en cuestión se enumeran a continuación:
- CVE-2025-34291 (Puntuación CVSS: 9,4): una vulnerabilidad de error de validación de origen en Langflow que podría permitir a un atacante ejecutar código arbitrario y lograr un compromiso total del sistema.
- CVE-2026-34926 (Puntuación CVSS: 6,7): una vulnerabilidad de cruce de directorios en versiones locales de Trend Micro Apex One que podría permitir a un atacante local previamente autenticado modificar una tabla de claves en el servidor para inyectar código malicioso e implementarlo en agentes en las instalaciones afectadas.
En un informe publicado en diciembre de 2025, Obsidian Security dijo que CVE-2025-34291 explota tres debilidades combinadas: CORS demasiado permisivo, falta de protección contra falsificación de solicitudes entre sitios (CSRF) y un punto final que permite la ejecución de código por diseño.
«El impacto es grave: la explotación exitosa no sólo compromete la instancia de Langflow sino que también expone todos los tokens de acceso confidenciales y claves API almacenados en el espacio de trabajo», señaló la compañía en ese momento. «Esto puede desencadenar un compromiso en cascada en todos los servicios integrados en entornos de nube y SaaS».
Desde entonces, la vulnerabilidad ha sido explotada por un grupo de hackers patrocinado por el estado iraní llamado MuddyWater para obtener acceso inicial a las redes objetivo, según un análisis Ctrl-Alt-Intel publicado en marzo de 2026.
En cuanto a CVE-2026-34926, Trend Micro dijo que «observó al menos un caso de un intento de explotar activamente una de estas vulnerabilidades en la naturaleza».
«Esta vulnerabilidad solo se puede explotar en la versión local de Apex One y un atacante potencial debe tener acceso al servidor Apex One y haber obtenido credenciales administrativas para el servidor a través de algún otro método para explotar esta vulnerabilidad», agregó.
A la luz de la explotación activa, las agencias del Poder Ejecutivo Civil Federal (FCEB) deben aplicar las correcciones necesarias antes del 4 de junio de 2026 para proteger sus redes.