CISA bổ sung các lỗ hổng Langflow và Trend Micro Apex One đang bị khai thác vào danh mục KEV

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa bổ sung hai lỗ hổng bảo mật ảnh hưởng đến Langflow và Trend Micro Apex One vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc chúng đang bị khai thác tích cực trong thực tế. Các lỗ hổng bao gồm CVE-2025-34291 (Langflow) và CVE-2026-34926 (Trend Micro Apex One).
CISA KEV Catalog

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vào thứ Năm đã bổ sung hai lỗ hổng bảo mật ảnh hưởng đến Langflow và Trend Micro Apex One vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), trích dẫn bằng chứng về việc chúng đang bị khai thác tích cực trong thực tế.

Các lỗ hổng được đề cập bao gồm:

  • CVE-2025-34291 (điểm CVSS: 9.4) - Một lỗ hổng lỗi xác thực nguồn gốc (origin validation error) trong Langflow có thể cho phép kẻ tấn công thực thi mã tùy ý và chiếm quyền kiểm soát hoàn toàn hệ thống.
  • CVE-2026-34926 (điểm CVSS: 6.7) - Một lỗ hổng Directory Traversal trong các phiên bản On-premise của Trend Micro Apex One, có thể cho phép kẻ tấn công cục bộ đã được xác thực trước đó sửa đổi bảng khóa trên máy chủ để chèn mã độc nhằm triển khai tới các Agent trên các bản cài đặt bị ảnh hưởng.

Rủi ro từ lỗ hổng Langflow

Trong một báo cáo được công bố vào tháng 12 năm 2025, Obsidian Security cho biết CVE-2025-34291 khai thác sự kết hợp của ba điểm yếu: CORS quá lỏng lẻo (overly Permissive CORS), thiếu bảo vệ chống tấn công Cross-Site Request Forgery (CSRF), và một Endpoint cho phép thực thi mã theo thiết kế.

"Tác động là rất nghiêm trọng: việc khai thác thành công không chỉ làm tổn hại phiên bản Langflow mà còn làm lộ tất cả các Access Token và API Key nhạy cảm được lưu trữ trong không gian làm việc," công ty lưu ý vào thời điểm đó. "Điều này có thể gây ra một chuỗi xâm nhập trên tất cả các dịch vụ hạ nguồn được tích hợp trong môi trường Cloud và SaaS."

Lỗ hổng này kể từ đó đã bị khai thác bởi MuddyWater - một nhóm hacker do nhà nước Iran bảo trợ - để giành quyền truy cập ban đầu vào mạng lưới mục tiêu, theo một phân tích của Ctrl-Alt-Intel được công bố vào tháng 3 năm 2026.

Lỗ hổng Trend Micro Apex One

Đối với CVE-2026-34926, Trend Micro cho biết họ đã "quan sát thấy ít nhất một trường hợp nỗ lực khai thác tích cực một trong những lỗ hổng này trong thực tế."

"Lỗ hổng này chỉ có thể khai thác được trên phiên bản On-premise của Apex One và kẻ tấn công tiềm năng phải có quyền truy cập vào máy chủ Apex One và đã có được thông tin đăng nhập quản trị thông qua một số phương pháp khác để khai thác lỗ hổng này," công ty cho biết thêm.

Trước tình trạng bị khai thác tích cực, các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) được yêu cầu áp dụng các bản sửa lỗi cần thiết trước ngày 4 tháng 6 năm 2026 để bảo vệ mạng lưới của mình.