CISA inclui duas falhas exploradas
A CISA adicionou duas vulnerabilidades com exploração ativa confirmada ao seu catálogo KEV na última quinta-feira (22): uma falha de validação de origem no Langflow (CVE-2025-34291, CVSS 9.4) que permite execução remota de código, e uma falha de directory traversal no Trend Micro Apex One (CVE-2026-34926, CVSS 6.7) que permite injeção de código malicioso nos agentes de proteção. Agências federais têm prazo até 4 de junho para aplicar as correções.
Vulnerabilidade do Langflow
A CVE-2025-34291 combina três fraquezas: uma configuração CORS excessivamente permissiva, ausência de proteção contra CSRF e um endpoint que permite execução de código por design. Segundo a Obsidian Security, que publicou análise em dezembro de 2025, a exploração bem-sucedida compromete a instância do Langflow e expõe todos os tokens de acesso e chaves de API armazenados no workspace, podendo desencadear uma invasão em cascata sobre serviços integrados de nuvem e SaaS.
A vulnerabilidade foi explorada pelo grupo estatal iraniano MuddyWater para obter acesso inicial a redes-alvo, conforme análise do Ctrl-Alt-Intel publicada em março de 2026. O Langflow é uma plataforma de código aberto para construção de fluxos de trabalho com IA, o que amplia a superfície de impacto para organizações que integram modelos de linguagem aos seus processos.
Falha no Trend Micro Apex One
A CVE-2026-34926 afeta versões on-premise do Trend Micro Apex One e permite que um atacante local pré-autenticado modifique uma tabela-chave no servidor para injetar código malicioso que será implantado nos agentes das instalações afetadas. A Trend Micro confirmou pelo menos uma tentativa de exploração ativa. O atacante precisa ter acesso ao servidor Apex One e já possuir credenciais administrativas obtidas por outro método.
Ainda que o requisito de acesso prévio limite o escopo, a gravidade reside no fato de que o Apex One é um agente de proteção de endpoints — um servidor comprometido pode transformar a ferramenta de segurança em vetor de ataque contra toda a infraestrutura protegida.
| Vulnerabilidade | Produto | CVSS | Tipo | Prazo KEV |
|---|---|---|---|---|
| CVE-2025-34291 | Langflow | 9.4 | Validação de origem / RCE | 4 de junho de 2026 |
| CVE-2026-34926 | Trend Micro Apex One (on-prem) | 6.7 | Directory traversal | 4 de junho de 2026 |
O que fazer agora
Organizações que utilizam Langflow devem aplicar as correções imediatamente e auditar todos os tokens e chaves de API armazenados na plataforma. No caso do Langflow, é fundamental verificar se os endpoints de execução de código estão acessíveis apenas a redes confiáveis e se a configuração CORS restringe origens permitidas.
Para o Trend Micro Apex One on-premise, a atualização deve ser priorizada em todos os servidores de gerenciamento. Equipas de segurança devem revisar logs do servidor Apex One em busca de modificações suspeitas em tabelas de configuração e verificar a integridade dos binários implantados nos agentes. Instalações em nuvem (SaaS) do Apex One não são afetadas.
Em ambos os casos, o prazo federal de 4 de junho de 2026 serve como referência para todas as organizações — a exploração ativa no caso do Langflow pelo MuddyWater eleva a urgência para qualquer ambiente que integre a plataforma.