As vulnerabilidades CVE-2025-34291 e CVE-2026-34926 têm exploração ativa confirmada e exigem correção até 4 de junho de 2026 em órgãos federais civis dos Estados Unidos.
| Componente | Langflow e versões locais do Trend Micro Apex One. |
| Vetor | CVE-2025-34291 envolve validação incorreta de origem no Langflow, combinada com CORS permissivo, ausência de proteção contra CSRF e um endpoint que executa código por desenho; CVE-2026-34926 exige acesso ao Apex One Server e credenciais administrativas já obtidas. |
| Impacto | Execução arbitrária de código e comprometimento completo da instância Langflow; no Apex One local, modificação de uma tabela crítica para injetar código malicioso distribuído a agentes afetados. |
| Prioridade | Aplicar as correções dos fornecedores, revisar exposição de Langflow e Apex One, investigar abuso de credenciais administrativas e rotacionar segredos ligados a workspaces comprometidos. |
| Versões | A falha do Apex One é explorável apenas na versão local; o contexto não informa versões específicas vulneráveis do Langflow ou do Apex One. |
| Prazo | Agências federais civis dos Estados Unidos devem corrigir os ativos afetados até 4 de junho de 2026. |
Duas vulnerabilidades com exploração ativa foram adicionadas ao catálogo de vulnerabilidades exploradas conhecidas da CISA: CVE-2025-34291, no Langflow, e CVE-2026-34926, em versões locais do Trend Micro Apex One. A primeira recebeu pontuação CVSS 9.4 e permite execução arbitrária de código quando a instância exposta reúne controles insuficientes de origem, permissões CORS amplas demais, ausência de proteção efetiva contra CSRF e uma rota funcional capaz de executar código dentro do fluxo normal do produto. A segunda recebeu pontuação CVSS 6.7 e corresponde a uma travessia de diretório no Apex One local, mas depende de uma condição importante: o invasor já precisa ter acesso ao servidor Apex One e credenciais administrativas obtidas por outro meio antes de acionar a falha.
O risco operacional difere entre os dois casos. Em Langflow, a exploração bem-sucedida compromete a instância e pode expor tokens de acesso e chaves de API armazenados no workspace, criando um caminho de comprometimento em cascata para serviços SaaS, ambientes de nuvem e integrações downstream conectadas à plataforma. No Apex One local, o impacto se concentra no uso do próprio servidor de gerenciamento como ponto de distribuição: a falha pode permitir alteração de uma tabela essencial para inserir código malicioso e entregá-lo a agentes em instalações afetadas. Como ambos os problemas já têm evidência de exploração, a resposta não deve tratar a correção como manutenção regular; a ordem correta é identificar exposição, aplicar atualização, verificar sinais de abuso anterior e validar que segredos, contas administrativas e agentes gerenciados não foram usados como pivô.
Em CVE-2025-34291, o caminho de ataque nasce da quebra de fronteira entre o navegador, a origem autorizada e a capacidade interna do Langflow de executar ações definidas pelo próprio produto. CORS permissivo amplia quem consegue interagir com a aplicação a partir de uma origem externa; a falta de proteção contra CSRF remove uma barreira comum contra requisições forjadas em sessão autenticada; e o endpoint que executa código por desenho transforma a requisição aceita indevidamente em execução dentro do ambiente da instância. O problema não depende apenas de um único erro isolado: o impacto severo decorre da combinação entre confiança excessiva na origem, ausência de validação transacional e uma funcionalidade legítima que, sob controle do atacante, passa a executar código não autorizado.
O relato de exploração associa CVE-2025-34291 ao uso por um grupo iraniano identificado como MuddyWater para obter acesso inicial a redes alvo. O contexto não fornece endereços IP, domínios, hashes, payloads ou scripts, portanto a atribuição deve ser tratada pelo que foi confirmado: exploração da falha como vetor de entrada, não uma cadeia completa publicamente detalhada. Em operações defensivas, o ponto central é que um Langflow comprometido pode conter chaves de API e tokens usados para serviços externos. A análise pós-exploração precisa mapear quais integrações estavam configuradas, quais credenciais eram persistidas no workspace e quais serviços aceitaram chamadas a partir desses segredos após a janela provável de exploração.
Em CVE-2026-34926, a exploração é mais condicionada, mas o impacto no ambiente de endpoint pode ser significativo. O atacante precisa estar pré-autenticado localmente, ter acesso ao Apex One Server e possuir credenciais administrativas obtidas por outro método. A partir dessas condições, a travessia de diretório pode ser usada para modificar uma tabela crítica no servidor, inserir código malicioso e fazer com que esse código seja implantado em agentes afetados. A falha, portanto, não é um vetor remoto inicial típico; ela aumenta o impacto de um comprometimento administrativo já existente, usando a infraestrutura de gerenciamento de segurança como mecanismo de distribuição dentro do ambiente.
A superfície do Langflow inclui instâncias acessíveis por navegadores ou integrações que aceitam requisições de origens externas sem validação estrita. Ambientes em que usuários autenticados mantêm sessões ativas e em que workspaces armazenam segredos de serviços externos concentram o maior risco, porque a exploração pode ultrapassar a aplicação e alcançar APIs conectadas. Sistemas de nuvem, automações, conectores SaaS e chaves usadas por fluxos internos devem ser considerados parte da superfície de impacto quando os segredos estão armazenados dentro do workspace comprometido.
No Apex One, a superfície afetada é restrita a implantações locais do produto. O requisito de acesso ao servidor e de credenciais administrativas muda a priorização: a falha deve ser tratada como risco de pós-comprometimento e de abuso de plano de gerenciamento. Ambientes com administração compartilhada, contas privilegiadas reutilizadas, acesso remoto ao servidor de gerenciamento ou baixa visibilidade sobre alterações administrativas têm exposição maior. A distribuição para agentes torna a validação mais ampla do que o servidor isolado, pois endpoints gerenciados podem receber artefatos implantados por uma tabela alterada maliciosamente.
- Instâncias Langflow com CORS permissivo, ausência de proteção contra CSRF e workspaces contendo tokens ou chaves de API.
- Servidores Trend Micro Apex One locais acessíveis por contas administrativas já comprometidas.
- Agentes Apex One que recebem instruções, configurações ou código a partir do servidor local afetado.
- Serviços SaaS e ambientes de nuvem integrados ao Langflow por segredos armazenados no workspace.
Para Langflow, a investigação deve reconstruir o uso das rotas capazes de disparar execução de código e correlacionar essas chamadas com cabeçalhos Origin, Referer, usuário autenticado, endereço IP de origem e horário de sessão. Requisições que executam ações sensíveis a partir de origens não reconhecidas, sem vínculo claro com a interface legítima, merecem prioridade. Também é necessário comparar a linha do tempo de exploração possível com uso posterior de chaves expostas em provedores externos: chamadas incomuns de API, criação de tokens, alteração de permissões, novas automações e acesso a dados por identidades associadas ao workspace.
Para Apex One, a telemetria deve partir da premissa de que o atacante já possuía algum nível de acesso administrativo. Logs de autenticação no servidor, sessões remotas, alterações em tabelas internas, mudanças de configuração e eventos de distribuição para agentes devem ser analisados em conjunto. Como o impacto envolve injeção de código implantado em agentes, a caça não termina no servidor: endpoints gerenciados devem ser verificados para execuções novas ou inesperadas atribuídas ao mecanismo de implantação do Apex One, especialmente quando coincidem com atividade administrativa fora do padrão.
A ausência de IoCs públicos no contexto exige uma abordagem baseada em comportamento e controle de mudanças. Em vez de procurar apenas indicadores fixos, a equipe deve validar quais ações administrativas ocorreram, quem as iniciou, de onde partiram, quais agentes receberam alterações e quais integrações externas foram acionadas após eventos suspeitos. Esse método reduz o risco de deixar passar abuso com infraestrutura diferente da observada inicialmente.
- Em Langflow, requisições sensíveis com
OriginouRefererfora do conjunto esperado. - Execução de fluxos, componentes ou ações administrativas no Langflow sem usuário, horário ou origem compatível com operação normal.
- Uso anômalo de tokens e chaves de API armazenados em workspaces após a janela provável de exposição.
- No Apex One, autenticações administrativas incomuns no servidor local e alterações em tabelas críticas.
- Implantações para agentes Apex One iniciadas após sessões administrativas suspeitas.
- Execução nova em endpoints gerenciados que tenha origem no canal de distribuição do servidor Apex One.
A mitigação deve começar pela correção dos produtos afetados conforme orientação dos fornecedores e pelo cumprimento do prazo de 4 de junho de 2026 nos ambientes obrigados pela diretriz federal norte-americana. Para Langflow, a atualização precisa ser acompanhada de redução de exposição: revisar origens permitidas em CORS, exigir proteção contra CSRF onde aplicável, limitar acesso à interface administrativa e restringir quem pode acionar funcionalidades que executam código. Instâncias publicadas diretamente na internet devem ser avaliadas com prioridade, principalmente quando armazenam credenciais de serviços externos.
A resposta para CVE-2025-34291 também exige tratamento de segredos. Se houver indício de exploração ou se a instância ficou exposta em configuração vulnerável, tokens e chaves de API do workspace devem ser rotacionados, permissões devem ser reduzidas ao mínimo necessário e logs dos serviços integrados devem ser revisados. A ação defensiva não deve presumir que a correção da aplicação remove o impacto passado; um atacante que obteve credenciais pode continuar operando por APIs externas mesmo depois da atualização do Langflow.
Para CVE-2026-34926, a correção do Apex One local deve vir junto de auditoria das contas administrativas e do servidor de gerenciamento. Como a exploração exige credenciais administrativas prévias, é necessário investigar como esse acesso foi obtido, remover sessões ativas suspeitas, revisar grupos privilegiados e validar a integridade das configurações e tabelas usadas para distribuir conteúdo aos agentes. Endpoints gerenciados devem passar por verificação de artefatos implantados recentemente, execução não esperada e alterações coincidentes com atividade administrativa anômala.
- Aplicar as atualizações de Langflow e Trend Micro Apex One local assim que disponíveis para o ambiente afetado.
- Restringir CORS, validar proteção contra CSRF e limitar acesso às funcionalidades de execução no Langflow.
- Rotacionar tokens e chaves de API armazenados em workspaces Langflow expostos ou possivelmente comprometidos.
- Auditar contas administrativas, sessões e acessos remotos ao Apex One Server.
- Verificar integridade das tabelas e configurações usadas pelo Apex One para distribuir código ou conteúdo a agentes.
- Correlacionar eventos do servidor Apex One com execução em endpoints gerenciados e isolar agentes com comportamento incompatível.
0 Comentários