Die CISA hat ihren KEV-Katalog um zwei Einträge erweitert und begründet dies mit Belegen für aktive Ausnutzung. Betroffen sind die Open-Source-Plattform Langflow (CVE-2025-34291) und das Sicherheitsprodukt Trend Micro Apex One (CVE-2026-34926).
Zur Langflow-Lücke veröffentlichte Obsidian Security im Dezember 2025 eine Analyse. Demnach kombiniert CVE-2025-34291 drei Schwachstellen: eine zu freizügige CORS-Konfiguration, das Fehlen eines Schutzes gegen Cross-Site Request Forgery (CSRF) sowie einen Endpunkt, der konstruktionsbedingt Codeausführung erlaubt.
Die Folgen beschreibt das Unternehmen als gravierend: Eine erfolgreiche Ausnutzung kompromittiere nicht nur die Langflow-Instanz selbst, sondern lege auch sämtliche dort gespeicherten sensiblen Zugangstoken und API-Schlüssel offen. Daraus könne sich nach Darstellung von Obsidian Security eine kaskadenartige Kompromittierung aller angebundenen nachgelagerten Dienste in Cloud- und SaaS-Umgebungen ergeben.
Inzwischen wurde die Schwachstelle laut einer im März 2026 veröffentlichten Analyse von Ctrl-Alt-Intel von einer iranischen staatlich gestützten Hackergruppe namens MuddyWater genutzt, um einen ersten Zugang zu Zielnetzwerken zu erlangen.
Zu CVE-2026-34926 erklärte Trend Micro, man habe „mindestens einen Versuch beobachtet, eine dieser Schwachstellen aktiv in freier Wildbahn auszunutzen". Das Unternehmen schränkt jedoch ein: Die Lücke sei ausschließlich in der On-Premise-Version von Apex One ausnutzbar. Zudem müsse ein potenzieller Angreifer Zugriff auf den Apex-One-Server haben und sich zuvor auf anderem Weg administrative Zugangsdaten zu diesem Server verschafft haben.
Angesichts der laufenden Angriffe verpflichtet die CISA die zivilen US-Bundesbehörden (FCEB), die erforderlichen Korrekturen bis zum 4. Juni 2026 einzuspielen.
