2026-05-22
CISAがLangflowとTrend Micro Apex Oneの脆弱性をKEVに追加
アメリカ合衆国のサイバーセキュリティおよびインフラセキュリティ庁(CISA)は、LangflowとTrend Micro Apex Oneに影響を与える2つのセキュリティ脆弱性を、実際の悪用の証拠をもとに既知の悪用脆弱性(KEV)カタログに追加しました。CVE-2025-34291は、Langflowにおけるオリジン検証エラーの脆弱性で、攻撃者が任意のコードを実行し、システムを完全に侵害する可能性があります。CVE-2026-34926は、Trend Micro Apex Oneのオンプレミス版におけるディレクトリトラバーサルの脆弱性で、事前認証されたローカル攻撃者がサーバー上の重要なテーブルを変更し、悪意のあるコードを注入することが可能です。これらの脆弱性は、特にFCEB機関において、2026年6月4日までに修正が求められています。
メトリクス
このニュースのスケール度合い
6.0
/10
インパクト
7.0
/10
予想外またはユニーク度
5.5
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
8.0
/10
このニュースで行動が起きる/起こすべき度合い
8.5
/10
主なポイント
- ✓ CISAは、LangflowとTrend Micro Apex Oneの脆弱性をKEVに追加しました。
- ✓ これらの脆弱性は、実際に悪用されていることが確認されています。
社会的影響
- ! これらの脆弱性の悪用は、企業や組織のデータセキュリティに深刻な影響を及ぼす可能性があります。
- ! 特に、政府機関や重要インフラにおいて、迅速な対応が求められています。
編集長の意見
今回のCISAによる脆弱性の追加は、サイバーセキュリティの重要性を再認識させるものです。特に、CVE-2025-34291は、攻撃者がLangflowを通じてシステム全体にアクセスできる可能性があるため、非常に危険です。この脆弱性は、過去の報告でも指摘されているように、複数のセキュリティホールを利用しており、攻撃者にとっては魅力的なターゲットとなります。また、CVE-2026-34926は、特定の条件下でのみ悪用可能ですが、管理者権限を持つ攻撃者にとっては、システムへの侵入を容易にする手段となります。これらの脆弱性が悪用されることで、企業や組織の機密情報が漏洩するリスクが高まります。したがって、FCEB機関は、指定された期限内に修正を行う必要があります。さらに、一般企業もこれらの脆弱性に対する対策を講じることが重要です。セキュリティパッチの適用や、システムの監視を強化することで、潜在的な攻撃を未然に防ぐことができます。今後も、サイバー攻撃は進化し続けるため、常に最新の情報を把握し、適切な対策を講じることが求められます。
背景情報
- i CVE-2025-34291は、Langflowにおけるオリジン検証エラーの脆弱性で、攻撃者が任意のコードを実行できる可能性があります。この脆弱性は、過度に許可されたCORS、CSRF保護の欠如、設計上のコード実行を許可するエンドポイントの3つの弱点を組み合わせたものです。
- i CVE-2026-34926は、Trend Micro Apex Oneのオンプレミス版におけるディレクトリトラバーサルの脆弱性です。この脆弱性は、攻撃者がサーバーにアクセスし、管理者権限を取得した場合に悪用可能です。