أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) عن إضافة ثغرتين خطيرتين إلى كتالوج الثغرات المستغلة فعليًا (Known Exploited Vulnerabilities – KEV)، وذلك بعد توفر أدلة على استغلالهما في هجمات نشطة. الثغرتان تستهدفان كلًا من منصة Langflow وأداة الحماية الشهيرة Trend Micro Apex One.
ثغرة Langflow CVE-2025-34291
الثغرة الأولى، المصنفة بدرجة خطورة عالية (CVSS 9.4)، تتعلق بخطأ في التحقق من المصدر (Origin Validation Error) داخل منصة Langflow. هذا الخلل يسمح بتنفيذ تعليمات برمجية عشوائية تؤدي إلى السيطرة الكاملة على النظام. تقرير صادر عن شركة Obsidian Security في ديسمبر 2025 أوضح أن الاستغلال يعتمد على ثلاثة نقاط ضعف متزامنة:
- إعدادات CORS المفرطة السماحية
- غياب حماية CSRF
- نقطة نهاية تسمح بتنفيذ التعليمات البرمجية بشكل مباشر
النتيجة هي اختراق شامل للمنصة وكشف جميع الرموز المميزة ومفاتيح الوصول (API Keys) المخزنة، مما يفتح الباب أمام سلسلة من الاختراقات المتتابعة عبر الخدمات السحابية المرتبطة. وقد تم رصد استغلال هذه الثغرة من قبل مجموعة MuddyWater الإيرانية المدعومة من الدولة، والتي استخدمتها للحصول على وصول أولي إلى شبكات مستهدفة.
ثغرة Trend Micro Apex One CVE-2026-34926
الثغرة الثانية، المصنفة بدرجة خطورة متوسطة (CVSS 6.7)، هي ثغرة Directory Traversal في النسخ المحلية (On-Premise) من Trend Micro Apex One. تسمح هذه الثغرة للمهاجم المحلي غير المصادق بتعديل جداول أساسية على الخادم وحقن تعليمات برمجية خبيثة يتم نشرها لاحقًا على الوكلاء المرتبطين.
شركة Trend Micro أكدت أنها رصدت بالفعل محاولة استغلال واحدة لهذه الثغرة، لكنها أوضحت أن الاستغلال يتطلب وصولًا مسبقًا إلى الخادم مع امتلاك بيانات اعتماد إدارية، ما يعني أن المهاجم يحتاج إلى اختراق أولي قبل استغلال هذه الثغرة.
التدابير المطلوبة والمهلة الزمنية
في ضوء الاستغلال النشط، ألزمت وكالة CISA الوكالات الفيدرالية المدنية التنفيذية (FCEB) بتطبيق الإصلاحات اللازمة قبل الرابع من يونيو 2026، وذلك لضمان حماية الشبكات من أي هجمات محتملة. هذه الخطوة تأتي ضمن استراتيجية الوكالة لتقليص مساحة الهجوم عبر إلزام المؤسسات بتحديث أنظمتها بشكل دوري عند ظهور ثغرات مثبتة الاستغلال.
