Die Schwachstelle CVE-2026-34926 ist als Directory-Traversal-Problem mittleren Schweregrads eingestuft. Nach Darstellung von TrendAI lässt sie sich von einem nicht authentifizierten lokalen Angreifer ausnutzen, um eine Schlüsseltabelle auf dem Server zu manipulieren und so Schadcode einzuschleusen, der an die Agenten betroffener Installationen verteilt wird. Das Unternehmen betont, dass der Angreifer dafür Administrator-Zugangsdaten für den Server benötigt und der Angriff nur die On-Premise-Variante von Apex One trifft.

Zu den konkreten Angriffen, in denen die Lücke ausgenutzt wurde, teilte das Sicherheitsunternehmen keine Einzelheiten mit. Aufgefallen war die Schwachstelle dem internen Incident-Response-Team von TrendAI.

Angriffe auf Schwachstellen in Apex-Produkten sind nicht ungewöhnlich, doch Angaben zur Urheberschaft werden nur selten öffentlich gemacht. Einige frühere Angriffe wurden chinesischen staatlich unterstützten Hackern zugeschrieben. Angesichts des Zugriffs, der für die Ausnutzung von CVE-2026-34926 nötig ist, hält der Bericht es für wahrscheinlich, dass auch diese Lücke von einer APT-Gruppe ausgenutzt wurde.

Die US-Behörde CISA nahm CVE-2026-34926 an einem Donnerstag in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf und wies Bundesbehörden an, das Problem bis zum 4. Juni zu beheben. Im KEV-Katalog sind derzeit zehn weitere CVEs zu Apex-Schwachstellen verzeichnet.

Neben CVE-2026-34926 beheben die jüngsten Apex-One-Updates mehrere weitere Schwachstellen. Dabei handelt es sich durchweg um Probleme hohen Schweregrads, die sich für eine lokale Rechteausweitung ausnutzen lassen.

In seiner Sicherheitsmeldung weist TrendAI darauf hin, dass die Ausnutzung solcher Schwachstellen in der Regel voraussetzt, dass ein Angreifer physischen oder entfernten Zugriff auf ein verwundbares System hat. Neben dem zeitnahen Einspielen der Patches und aktualisierter Lösungen rät das Unternehmen seinen Kunden, den Fernzugriff auf kritische Systeme zu überprüfen und sicherzustellen, dass Richtlinien und Perimetersicherheit auf dem aktuellen Stand sind.