Die **CISA** hat Bundesbehörden der zivilen Exekutive (FCEB) angewiesen, bis zum 4. Juni 2026 die notwendigen Patches anzuwenden, um die mit diesen Schwachstellen verbundenen Risiken zu mindern. ### Details zu den Schwachstellen Die beiden in den KEV-Katalog aufgenommenen Schwachstellen sind: * **CVE-2025-34291** (CVSS-Score: 9.4): Dies ist eine Schwachstelle aufgrund eines Fehlers bei der Ursprungsvalidierung in **Langflow**. Eine erfolgreiche Ausnutzung könnte es einem Angreifer ermöglichen, beliebigen Code auszuführen, was zu einer vollständigen Systemkompromittierung führt. * **CVE-2026-34926** (CVSS-Score: 6.7): Eine Verzeichnis-Traversal-Schwachstelle besteht in On-Premise-Versionen von **Trend Micro Apex One**. Ein lokaler Angreifer mit Vorab-Authentifizierung könnte diese ausnutzen, um eine Schlüssel-Tabelle auf dem Server zu manipulieren und bösartigen Code für die Bereitstellung auf Agenten in betroffenen Installationen einzuschleusen. ### Langflow (CVE-2025-34291) Analyse Laut einem Bericht von **Obsidian Security** aus Dezember 2025 ergibt sich **CVE-2025-34291** aus einer Kombination aus zu permissiven CORS-Einstellungen, einem Mangel an Schutz vor Cross-Site Request Forgery (CSRF) und einem Endpunkt, der die Codeausführung ermöglicht. **Obsidian Security** erklärte: "Die Auswirkungen sind gravierend: Eine erfolgreiche Ausnutzung kompromittiert nicht nur die **Langflow**-Instanz, sondern legt auch alle sensiblen Zugriffstoken und API-Schlüssel offen, die im Workspace gespeichert sind. Dies kann zu einer kaskadierenden Kompromittierung aller integrierten nachgelagerten Dienste in Cloud- und SaaS-Umgebungen führen." Es wurde berichtet, dass die iranische, staatlich unterstützte Hackergruppe **MuddyWater** diese Schwachstelle ausgenutzt hat, um initialen Zugriff auf Zielnetzwerke zu erlangen, wie **Ctrl-Alt-Intel** im März 2026 berichtete. ### Trend Micro Apex One (CVE-2026-34926) Analyse **Trend Micro** hat bestätigt, dass Versuche zur aktiven Ausnutzung von **CVE-2026-34926** in freier Wildbahn beobachtet wurden. Laut **Trend Micro** ist diese Schwachstelle nur in der On-Premise-Version von **Apex One** ausnutzbar und erfordert, dass ein Angreifer Zugriff auf den **Apex One**-Server und bereits vorhandene Administrator-Anmeldeinformationen hat.