CISA'dan Kritik Uyarı: Langflow ve Trend Micro'da Aktif Olarak Sömürülen İki Güvenlik Açığı Yazılım

CISA'dan Kritik Uyarı: Langflow ve Trend Micro'da Aktif Olarak Sömürülen İki Güvenlik Açığı

CISA, aktif olarak sömürülen iki yeni güvenlik açığını Bilinen Sömürülen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Bu açıklar Langflow ve Trend Micr

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif olarak sömürüldüğü tespit edilen iki yeni güvenlik açığını Bilinen Sömürülen Güvenlik Açıkları (KEV) Kataloğu'na ekledi. Bu açıklardan ilki, CVE-2025-34291 olarak izlenen ve Langflow ürününde bulunan bir kaynak doğrulama hatası; ikincisi ise CVE-2026-34926 koduyla tanımlanan ve Trend Micro Apex One (Şirket İçi) ürününü etkileyen bir dizin dolaşma güvenlik açığı. Bu tür açıklar, kötü niyetli siber aktörler için sık kullanılan saldırı vektörleri olup federal kurumlar için ciddi riskler oluşturmaktadır.

CISA'nın bu hamlesi, Bağlayıcı Operasyonel Direktif (BOD) 22-01 kapsamında atılmış bir adımdır. BOD 22-01, federal sivil yürütme organı (FCEB) kurumlarının, aktif tehditlere karşı ağlarını korumak için belirlenen güvenlik açıklarını belirtilen son tarihe kadar düzeltmelerini zorunlu kılar. KEV Kataloğu, federal kurumlar için önemli risk taşıyan bilinen güvenlik açıklarının (CVE'lerin) yaşayan bir listesi olarak oluşturulmuştur. Bu direktif yalnızca FCEB kurumlarını bağlasa da, CISA tüm kuruluşları güvenlik açığı yönetimi uygulamalarının bir parçası olarak KEV Kataloğu'ndaki açıkları zamanında düzeltmeye ve siber saldırılara karşı maruziyetlerini azaltmaya şiddetle teşvik etmektedir.

Langflow'daki CVE-2025-34291 güvenlik açığı, bir kaynak doğrulama hatasından kaynaklanmakta olup, saldırganların kimlik doğrulama mekanizmalarını atlamasına olanak tanıyabilir. Trend Micro Apex One'daki CVE-2026-34926 ise bir dizin dolaşma zafiyeti olup, yetkisiz dosya erişimine veya hassas bilgilerin sızdırılmasına yol açabilir. Her iki açık da aktif olarak sömürülmekte olduğundan, etkilenen sistemlerin derhal güncellenmesi büyük önem taşımaktadır. Trend Micro, Apex One kullanıcılarına güvenlik yamalarını uygulamalarını tavsiye ederken, Langflow kullanıcılarının da en son sürüme geçmeleri önerilmektedir.

CISA, belirlenen kriterleri karşılayan güvenlik açıklarını Kataloğa eklemeye devam edeceğini duyurdu. Kuruluşların, bu tür tehditlere karşı proaktif bir siber güvenlik duruşu benimsemeleri, düzenli güvenlik taramaları yapmaları ve yama yönetimi süreçlerini hızlandırmaları kritik öneme sahiptir. BOD 22-01 hakkında daha fazla bilgi için CISA tarafından yayınlanan Bilgi Notu incelenebilir. Bu gelişme, siber güvenlik topluluğunun bilinen açıkların hızla düzeltilmesi gerektiği konusundaki farkındalığını bir kez daha artırmıştır.

Paylaş: