Nové zranitelnosti v katalogu CISA KEV – vydání 13b
CISA zařadila 25. března 2026 do katalogu aktivně zneužívaných zranitelností jednu novou položku – CVE-2026-33017 v open-source platformě Langflow.
Jedná se o kritickou zranitelnost (CVSS 9.3) umožňující vzdálené spuštění kódu bez autentizace. Chyba spočívá v endpointu pro spouštění veřejných flow, který přijímá od klienta definici toku obsahující libovolný Python kód a vykonává jej přímo pomocí funkce exec() bez jakéhokoli sandboxu.
Postiženy jsou všechny verze před 1.9.0. Oprava je dostupná ve verzi 1.9.0, kde byl endpoint upraven tak, aby akceptoval pouze flow uložené na serveru.
Doporučení: Pokud používáte Langflow, aktualizujte co nejdříve (pip install langflow==1.9.0 nebo vyšší).
Další články
Čtyři měsíce do termínu: povinnosti transparentnosti podle AI Act vstupují v platnost 2. srpna 2026
Nařízení EU o umělé inteligenci přinese 2. srpna 2026 první sadu povinností přímého dopadu pro poskytovatele a provozovatele AI systémů: povinné označování AI obsahu, upozornění na deepfakes a zveřejň
Kritické zranitelnosti v Cisco ISE, Webex a Fortinet FortiSandbox – okamžitá aktualizace nutná
Cisco a Fortinet vydaly v uplynulém týdnu několik kritických bezpečnostních záplat. Nejzávažnější chyby se týkají Cisco Identity Services Engine (ISE), Webex Services a Fortinet FortiSandbox
CISA KEV – vydání 17: Osm nových aktivně zneužívaných zranitelností
CISA přidala 20. dubna 2026 do katalogu Known Exploited Vulnerabilities osm zranitelností s potvrzenou aktivní exploitací v reálném prostředí. Mezi postiženými produkty jsou PaperCut, JetBrains TeamCi