米当局、「Langflow」や「Apex One」の脆弱性悪用に注意喚起
米当局は、ローコード開発ツールやセキュリティ対策製品の脆弱性が悪用されているとし、注意喚起を行った。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は現地時間2026年5月21日、「CVE-2025-34291」「CVE-2026-34926」の脆弱性を「悪用が確認された脆弱性カタログ(KEV)」へ追加した。
「CVE-2025-34291」は、ローコード開発ツール「Langflow」に判明したオリジン検証不備に起因する脆弱性。2025年12月に報告された。
ドメインをまたがる通信先のアクセス制御を行う「CORS設定」が甘く、リフレッシュトークンCookieの設定が同一サイトに制限されていない場合、認証済みエンドポイントへのアクセスを許可するトークンを取得し、アカウント乗っ取りやリモートからのコード実行につながるおそれがある。
またオンプレミス版の「TrendAI Apex One(旧Trend Micro Apex One)」のサーバに確認されたパストラバーサルの脆弱性「CVE-2026-34926」を追加した。サーバOSの管理者権限が必要となるが、サーバ上の重要なテーブルやファイルを改ざんでき、セキュリティエージェントに対して悪意あるコードを展開することが可能となる。
同庁では、行政機関へ指定した期間内に対策を実施するよう促すとともに、脆弱性が広く悪用される可能性もあるとして利用者に注意を呼びかけている。
(Security NEXT - 2026/05/22 )
ツイート
PR
関連記事
「Apache Tomcat」に複数脆弱性 - 「クリティカル」との評価も
「NetScaler ADC/Gateway」に複数脆弱性 - アップデートで修正
「Adobe ColdFusion」に複数の深刻な脆弱性 - 早急に対応を
「iOS/iPadOS 26.5.2」を公開、脆弱性37件を修正
「Adobe Campaign Classic」に悪用リスクが高い脆弱性
「Chrome」にアップデート - 382件の脆弱性に対応
サポートツール「SimpleHelp」の脆弱性悪用を確認 - 米当局が注意喚起
「GitLab」にセキュリティ更新 - 脆弱性13件を修正
権威DNSサーバ「NSD」に複数脆弱性 - 修正版が公開
先週注目された記事(2026年6月21日〜2026年6月27日)
