**CISA** ha ordenado que las agencias del Poder Ejecutivo Civil Federal (FCEB) apliquen los parches necesarios antes del 4 de junio de 2026, para mitigar los riesgos asociados con estas vulnerabilidades. ### Detalles de la Vulnerabilidad Las dos vulnerabilidades agregadas al catálogo KEV son: * **CVE-2025-34291** (puntaje CVSS: 9.4): Esta es una vulnerabilidad de error de validación de origen encontrada en **Langflow**. La explotación exitosa podría permitir a un atacante ejecutar código arbitrario, lo que llevaría a la completa compromiso del sistema. * **CVE-2026-34926** (puntaje CVSS: 6.7): Existe una vulnerabilidad de traversal de directorios en las versiones on-premise de **Trend Micro Apex One**. Un atacante local pre-autenticado podría explotar esto para modificar una tabla clave en el servidor, inyectando código malicioso para su despliegue a los agentes en instalaciones afectadas. ### Análisis de Langflow (CVE-2025-34291) Según un informe de diciembre de 2025 de **Obsidian Security**, **CVE-2025-34291** surge de una combinación de CORS excesivamente permisivo, falta de protección contra falsificación de solicitudes entre sitios (CSRF) y un endpoint diseñado para permitir la ejecución de código. **Obsidian Security** declaró: "El impacto es severo: la explotación exitosa no solo compromete la instancia de **Langflow**, sino que también expone todos los tokens de acceso sensibles y las claves API almacenadas dentro del espacio de trabajo. Esto puede desencadenar un compromiso en cascada en todos los servicios downstream integrados en entornos cloud y SaaS." Se ha informado que el grupo de hackers patrocinado por el estado iraní **MuddyWater** ha explotado esta vulnerabilidad para obtener acceso inicial a redes objetivo, según **Ctrl-Alt-Intel** en marzo de 2026. ### Análisis de Trend Micro Apex One (CVE-2026-34926) **Trend Micro** ha reconocido haber observado intentos de explotar activamente **CVE-2026-34926** en la naturaleza. Según **Trend Micro**, esta vulnerabilidad solo es explotable en la versión on-premise de **Apex One**, requiriendo que un atacante tenga acceso al servidor **Apex One** y credenciales administrativas preexistentes.