Do katalogu Known Exploited Vulnerabilities agentury CISA přibyly v týdnu od 5. do 8. června 2026 tři nové záznamy. Zahrnují aktivně zneužívanou zranitelnost v síťovém produktu Check Point, command injection v populárním open source AI proxy LiteLLM a denial-of-service chybu v serveru SolarWinds Serv-U.

CVE-2026-50751 | Check Point Security Gateway | CVSS neuvedeno (CWE-287) – Nejnaléhavější z trojice. Zranitelnost spočívá v nesprávné implementaci autentizace v protokolu IKEv1 pro výměnu klíčů. Neautentizovaný vzdálený útočník ji může zneužít k obejití ověření identity a navázání vzdáleného VPN připojení bez znalosti platného hesla uživatele. Postiženy jsou produkty řady Security Gateway. Termín nápravy stanovený CISA je 11. června 2026 – tedy jeden z nejkratších lhůt v historii katalogu KEV. Check Point vydal záplatu formou hotfixu; odkaz na bezpečnostní bulletin a instrukce k instalaci jsou k dispozici na webu podpory Check Point (sk185033). Organizace provozující Check Point Security Gateway musejí záplatu aplikovat bezodkladně.

CVE-2026-42271 | BerriAI LiteLLM | CVSS neuvedeno (CWE-78, CWE-77) – LiteLLM je open source proxy server, který standardizuje rozhraní pro práci s různými jazykovými modely a je hojně využíván v podnikových AI pipeline. Zranitelnost command injection umožňuje libovolnému autentizovanému uživateli – včetně držitelů interních klíčů s nízkými oprávněními – spouštět příkazy přímo na hostitelském serveru. Jde o závažný problém zejména u sdílených nebo multi-tenant nasazení, kde mají přístup k API klíčům různé týmy nebo automatizované systémy. Záplata je součástí verze LiteLLM v1.83.7-stable vydané na GitHubu. Termín nápravy: 22. června 2026. Záplatu lze instalovat standardním postupem přes pip nebo Docker image. Technické detaily zranitelnosti jsou k dispozici v bezpečnostní poradně GHSA-v4p8-mg3p-g94g.