**CISA**は、連邦民間執行機関（FCEB）に対し、これらの脆弱性に関連するリスクを軽減するため、2026年6月4日までに必要なパッチを適用することを義務付けました。 ### 脆弱性の詳細 KEVカタログに追加された2つの脆弱性は以下の通りです。 * **CVE-2025-34291** (CVSSスコア: 9.4): **Langflow**で見つかったオリジン検証エラーの脆弱性です。これを悪用されると、攻撃者は任意のコードを実行し、システム全体を侵害する可能性があります。 * **CVE-2026-34926** (CVSSスコア: 6.7): **Trend Micro Apex One**のオンプレミスバージョンに存在するディレクトリトラバーサル脆弱性です。認証済みのローカル攻撃者は、これを悪用してサーバー上の重要なテーブルを変更し、影響を受けるインストール上のエージェントに展開するための悪意のあるコードを注入できます。 ### Langflow (CVE-2025-34291) の分析 **Obsidian Security**による2025年12月のレポートによると、**CVE-2025-34291**は、過度に許可されたCORS、クロスサイトリクエストフォージェリ（CSRF）保護の欠如、およびコード実行を許可するように設計されたエンドポイントの組み合わせに起因しています。 **Obsidian Security**は、「影響は深刻です。悪用に成功すると、**Langflow**インスタンスが侵害されるだけでなく、ワークスペース内に保存されているすべての機密性の高いアクセス トークンとAPIキーが公開されます。これにより、クラウドおよびSaaS環境のすべての統合された下流サービス全体で連鎖的な侵害が発生する可能性があります。」と述べています。 イラン国家支援のハッキンググループである**MuddyWater**が、この脆弱性を悪用して標的ネットワークへの初期アクセスを獲得したと、2026年3月の**Ctrl-Alt-Intel**の報告で伝えられています。 ### Trend Micro Apex One (CVE-2026-34926) の分析 **Trend Micro**は、**CVE-2026-34926**が実際に悪用されている試みを観測していることを認めています。**Trend Micro**によると、この脆弱性は**Apex One**のオンプレミスバージョンでのみ悪用可能であり、攻撃者は**Apex One**サーバーへのアクセスと、既存の管理者権限を持っている必要があります。