Nové zranitelnosti v katalogu CISA KEV – vydání 13b
CISA zařadila 25. března 2026 do katalogu aktivně zneužívaných zranitelností jednu novou položku – CVE-2026-33017 v open-source platformě Langflow.
Jedná se o kritickou zranitelnost (CVSS 9.3) umožňující vzdálené spuštění kódu bez autentizace. Chyba spočívá v endpointu pro spouštění veřejných flow, který přijímá od klienta definici toku obsahující libovolný Python kód a vykonává jej přímo pomocí funkce exec() bez jakéhokoli sandboxu.
Postiženy jsou všechny verze před 1.9.0. Oprava je dostupná ve verzi 1.9.0, kde byl endpoint upraven tak, aby akceptoval pouze flow uložené na serveru.
Doporučení: Pokud používáte Langflow, aktualizujte co nejdříve (pip install langflow==1.9.0 nebo vyšší).
Další články
Apple a EU vedou spor o Siri AI: evropští uživatelé iPhonů přicházejí o funkce kvůli výkladu DMA
Apple v červnu 2026 oznámil, že rozšířená verze hlasového asistenta Siri AI – jádro jeho chystaných AI funkcí – nebude po vydání iOS 27 dostupná uživatelům v zemích Evropské unie. Důvodem je pokraču
Nové zranitelnosti v katalogu CISA KEV – vydání 24b
Do katalogu Known Exploited Vulnerabilities agentury CISA přibyly 9. června 2026 tři nové záznamy. Dvě z nich – zranitelnost v JavaScript enginu prohlížeče Chrome a chyba v síťovém operačním systému
Microsoft Patch Tuesday – vydání 24: rekordních 198 záplat, tři zero-days a červovitá chyba Windows Kernel
Červnové Patch Tuesday přineslo 198 opravených zranitelností – nejrozsáhlejší vydání v historii programu. Součástí jsou tři zero-day zranitelnosti, které byly veřejně známy ještě před vydáním záplat