La **CISA** a mandaté les agences du Federal Civilian Executive Branch (FCEB) pour qu'elles appliquent les correctifs nécessaires d'ici le 4 juin 2026, afin d'atténuer les risques associés à ces vulnérabilités. ### Détails des vulnérabilités Les deux vulnérabilités ajoutées au catalogue KEV sont : * **CVE-2025-34291** (score CVSS : 9.4) : Il s'agit d'une vulnérabilité d'erreur de validation d'origine trouvée dans **Langflow**. Une exploitation réussie pourrait permettre à un attaquant d'exécuter du code arbitraire, conduisant à une compromission complète du système. * **CVE-2026-34926** (score CVSS : 6.7) : Une vulnérabilité de traversée de répertoire existe dans les versions on-premise de **Trend Micro Apex One**. Un attaquant local pré-authentifié pourrait l'exploiter pour modifier une table clé sur le serveur, injectant du code malveillant pour le déploiement sur les agents des installations affectées. ### Analyse de Langflow (CVE-2025-34291) Selon un rapport de décembre 2025 par **Obsidian Security**, **CVE-2025-34291** découle d'une combinaison de CORS trop permissif, d'un manque de protection contre la falsification de requêtes intersites (CSRF) et d'un point d'accès conçu pour permettre l'exécution de code. **Obsidian Security** a déclaré : « L'impact est sévère : une exploitation réussie compromet non seulement l'instance **Langflow**, mais expose également tous les jetons d'accès sensibles et les clés API stockés dans l'espace de travail. Cela peut déclencher une compromission en cascade de tous les services en aval intégrés dans les environnements cloud et SaaS. » Il a été rapporté que le groupe de piratage parrainé par l'État iranien **MuddyWater** a exploité cette vulnérabilité pour obtenir un accès initial aux réseaux cibles, selon **Ctrl-Alt-Intel** en mars 2026. ### Analyse de Trend Micro Apex One (CVE-2026-34926) **Trend Micro** a reconnu avoir observé des tentatives d'exploitation active de **CVE-2026-34926** dans la nature. Selon **Trend Micro**, cette vulnérabilité n'est exploitable que sur la version on-premise d'**Apex One**, nécessitant qu'un attaquant ait accès au serveur **Apex One** et des identifiants administratifs préexistants.