B
今週中
米CISAは、LangflowおよびTrendAI Apex Oneの脆弱性が悪用されているとして、KEVカタログに追加しました
📌 一言でいうと
米CISAは、LangflowおよびTrendAI Apex Oneの脆弱性が悪用されているとして、KEVカタログに追加しました。Langflowの脆弱性(CVE-2025-34291)はCORS設定の不備によりアカウント乗っ取りやRCEを招く恐れがあります。また、TrendAI Apex Oneの脆弱性(CVE-2026-34926)はパストラバーサルにより重要ファイルの改ざんや悪意あるコードの展開が可能です。
🔍該当判定
- ローコード開発ツール「Langflow」を導入・利用している
- トレンドマイクロ社の「TrendAI Apex One(旧Trend Micro Apex One)」を導入している
- 「TrendAI Apex One」をクラウド版ではなく、自社サーバ(オンプレミス)で運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
各製品の最新パッチを適用し、CISAの指示に従い速やかに脆弱性対策を実施すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Langflow および TrendAI Apex One の脆弱性対応について
お疲れさまです。CISAによる脆弱性悪用の確認に関する情報共有です。
■ 概要
LangflowおよびTrendAI Apex Oneにおいて、実際に悪用が確認された脆弱性がCISAのKEVカタログに追加されました。LangflowではCORS設定不備による認証トークン奪取、Apex Oneではパストラバーサルによるファイル改ざんのリスクがあります。
■ 影響範囲
- Langflow (CVE-2025-34291)
- TrendAI Apex One オンプレミス版 (CVE-2026-34926)
■ 対応手順
1. 利用している製品のバージョンを確認し、最新のセキュリティアップデートを適用してください。
2. Langflow利用者は、CORS設定およびCookieの設定が適切に制限されているか確認してください。
■ 参考情報
- CISA Known Exploited Vulnerabilities Catalog
対応優先度: 高
対応期限: 速やかに
お疲れさまです。CISAによる脆弱性悪用の確認に関する情報共有です。
■ 概要
LangflowおよびTrendAI Apex Oneにおいて、実際に悪用が確認された脆弱性がCISAのKEVカタログに追加されました。LangflowではCORS設定不備による認証トークン奪取、Apex Oneではパストラバーサルによるファイル改ざんのリスクがあります。
■ 影響範囲
- Langflow (CVE-2025-34291)
- TrendAI Apex One オンプレミス版 (CVE-2026-34926)
■ 対応手順
1. 利用している製品のバージョンを確認し、最新のセキュリティアップデートを適用してください。
2. Langflow利用者は、CORS設定およびCookieの設定が適切に制限されているか確認してください。
■ 参考情報
- CISA Known Exploited Vulnerabilities Catalog
対応優先度: 高
対応期限: 速やかに
Subject: [Security Alert] Vulnerabilities in Langflow and TrendAI Apex One
Dear Team,
This is to inform you that CISA has added vulnerabilities in Langflow and TrendAI Apex One to the Known Exploited Vulnerabilities (KEV) catalog.
■ Overview
- Langflow (CVE-2025-34291): Improper CORS configuration may lead to account takeover or Remote Code Execution (RCE).
- TrendAI Apex One (CVE-2026-34926): A path traversal vulnerability allows attackers with admin privileges to modify critical files and deploy malicious code.
■ Scope
- Langflow
- TrendAI Apex One (On-premises)
■ Action Plan
1. Identify affected systems and apply the latest security patches immediately.
2. For Langflow, review CORS and Cookie configurations to ensure they are properly restricted.
■ Reference
- CISA Known Exploited Vulnerabilities Catalog
Priority: High
Deadline: Immediate
Dear Team,
This is to inform you that CISA has added vulnerabilities in Langflow and TrendAI Apex One to the Known Exploited Vulnerabilities (KEV) catalog.
■ Overview
- Langflow (CVE-2025-34291): Improper CORS configuration may lead to account takeover or Remote Code Execution (RCE).
- TrendAI Apex One (CVE-2026-34926): A path traversal vulnerability allows attackers with admin privileges to modify critical files and deploy malicious code.
■ Scope
- Langflow
- TrendAI Apex One (On-premises)
■ Action Plan
1. Identify affected systems and apply the latest security patches immediately.
2. For Langflow, review CORS and Cookie configurations to ensure they are properly restricted.
■ Reference
- CISA Known Exploited Vulnerabilities Catalog
Priority: High
Deadline: Immediate