ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak istismar edildiği tespit edilen iki yeni güvenlik açığını Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Bu açıklar, saldırganlar tarafından hedef sistemlere sızmak için kullanılıyor ve federal kurumlar ile özel sektör için ciddi risk oluşturuyor. CISA, tüm kuruluşları bu açıkları acilen kapatmaya çağırıyor.
Kataloğa eklenen açıklardan ilki, Langflow platformunda bulunan CVE-2025-34291 kodlu Origin Doğrulama Hatası. Bu güvenlik açığı, saldırganların kaynak doğrulamasını atlayarak yetkisiz erişim elde etmesine olanak tanıyor. Langflow, yapay zeka ve makine öğrenimi modelleri oluşturmak için kullanılan popüler bir düşük kodlu platform olduğundan, açığın etkisi oldukça geniş olabilir.
İkinci açık ise CVE-2026-34926 koduyla Trend Micro Apex One (Şirket İçi) ürününde keşfedilen bir Dizin Geçişi (Directory Traversal) güvenlik açığı. Bu zafiyet, kimliği doğrulanmamış bir saldırganın hedef sistemdeki hassas dosyalara erişmesine veya keyfi dosyalar okumasına imkan tanıyor. Trend Micro Apex One, kurumsal ağlarda yaygın olarak kullanılan bir uç nokta güvenlik çözümü olduğu için açığın istismarı büyük çaplı veri ihlallerine yol açabilir.
CISA, Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında federal kurumların bu açıkları belirtilen son tarihe kadar kapatmasını zorunlu kılıyor. Özel sektör kuruluşları da aynı önlemleri alarak siber saldırılara karşı savunmalarını güçlendirmeli. CISA, KEV Kataloğu'nu düzenli olarak güncelleyerek yeni tehditlere karşı farkındalık yaratmaya devam edeceğini duyurdu.