A **CISA** determinou que as agências do Ramo Executivo Civil Federal (FCEB) apliquem os patches necessários até 4 de junho de 2026 para mitigar os riscos associados a essas vulnerabilidades. ### Detalhes da Vulnerabilidade As duas vulnerabilidades adicionadas ao catálogo KEV são: * **CVE-2025-34291** (pontuação CVSS: 9.4): Esta é uma vulnerabilidade de erro de validação de origem encontrada no **Langflow**. A exploração bem-sucedida poderia permitir que um atacante executasse código arbitrário, levando à completa comprometimento do sistema. * **CVE-2026-34926** (pontuação CVSS: 6.7): Uma vulnerabilidade de travessia de diretório existe nas versões on-premise do **Trend Micro Apex One**. Um atacante local pré-autenticado poderia explorar isso para modificar uma tabela chave no servidor, injetando código malicioso para implantação em agentes nas instalações afetadas. ### Análise do Langflow (CVE-2025-34291) De acordo com um relatório de dezembro de 2025 da **Obsidian Security**, a **CVE-2025-34291** resulta de uma combinação de CORS excessivamente permissivo, falta de proteção contra falsificação de solicitação entre sites (CSRF) e um endpoint projetado para permitir a execução de código. A **Obsidian Security** declarou: "O impacto é severo: a exploração bem-sucedida não apenas compromete a instância do **Langflow**, mas também expõe todos os tokens de acesso sensíveis e chaves de API armazenados no workspace. Isso pode desencadear um comprometimento em cascata em todos os serviços downstream integrados em ambientes de nuvem e SaaS." Foi relatado que o grupo de hackers patrocinado pelo estado iraniano **MuddyWater** explorou essa vulnerabilidade para obter acesso inicial a redes alvo, de acordo com a **Ctrl-Alt-Intel** em março de 2026. ### Análise do Trend Micro Apex One (CVE-2026-34926) A **Trend Micro** reconheceu ter observado tentativas de explorar ativamente a **CVE-2026-34926** no mundo real. De acordo com a **Trend Micro**, essa vulnerabilidade só é explorável na versão on-premise do **Apex One**, exigindo que um atacante tenha acesso ao servidor **Apex One** e credenciais administrativas preexistentes.