Thought Leadership
Die US-Behörde CISA hat zwei Schwachstellen in Langflow und Trend Micro in ihre KEV-Liste aufgenommen. Bundesbehörden müssen bis zum 4. Juni 2026 patchen.
Die US-amerikanische Cybersicherheitsbehörde CISA hat zwei neu erfasste Sicherheitslücken in ihren offiziellen Katalog der bekannten ausgenutzten Schwachstellen aufgenommen. Die beiden Fehler betreffen das KI-Orchestrierungswerkzeug Langflow sowie die Endpoint-Sicherheitslösung Apex One des Herstellers Trend Micro. Durch die Aufnahme in das KEV-Register wird offiziell bestätigt, dass für beide Sicherheitslücken verifizierte Berichte über eine aktive Ausnutzung durch Cyberkriminelle in realen IT-Umgebungen vorliegen.
Für die zivilen Bundesbehörden der Vereinigten Staaten ergibt sich daraus eine verbindliche Pflicht zur Schließung der Sicherheitslücken bis zum 4. Juni 2026. Da der KEV-Katalog weltweit als Orientierungsmaßstab für IT-Sicherheitsabteilungen dient, hat diese Warnung unmittelbare Auswirkungen auf das Schwachstellenmanagement im globalen Unternehmenssektor.
Hacker können bei Langflow Programmcode ausführen
Die erste neu aufgenommene Schwachstelle wird unter der Kennung CVE-2025-34291 geführt und weist einen kritischen Schweregrad mit einem Risikowert von 9.4 auf der Bewertungsskala des Common Vulnerability Scoring System auf. Der Fehler basiert auf einem Mangel bei der Validierung des Datenursprungs innerhalb der Anwendung. Eine erfolgreiche Ausnutzung erlaubt es entfernten Angreifern, beliebigen Programmcode auf den betroffenen Systemen auszuführen und eine vollständige Kompromittierung der zugrundeliegenden IT-Infrastruktur zu erreichen.
Langflow wird in modernen Enterprise-Umgebungen häufig eingesetzt, um komplexe Workflows für künstliche Intelligenz und große Sprachmodelle zu entwickeln und zu verknüpfen. Ein Einbruch in dieses System gefährdet daher die Kernkomponenten KI-gestützter Geschäftsprozesse.
Bedrohung durch Spionagegruppen
Analysen des IT-Sicherheitsunternehmens Obsidian Security aus dem Dezember 2025 zeigen, dass die Schwachstelle eine Kombination aus drei spezifischen Schwächen ausnutzt. Hierzu gehören eine zu lose Konfiguration der Cross-Origin Resource Sharing Richtlinien, das vollständige Fehlen eines Schutzes gegen Cross-Site Request Forgery sowie ein Endpunkt, der konstruktionsbedingt die Ausführung von Code erlaubt.
Die Auswirkungen einer Kompromittierung sind weitreichend, da nicht nur die Langflow-Instanz selbst gefährdet wird, sondern auch sämtliche im Arbeitsbereich hinterlegten Zugriffstoken und API-Schlüssel offengelegen werden. Dies kann eine Kaskade von Folgeangriffen auf integrierte Downstream-Dienste in Cloud- und Software-as-a-Service-Umgebungen auslösen. Im März 2026 dokumentierte die Forschungsgruppe Ctrl-Alt-Intel, dass eine iranische Spionagegruppierung namens MuddyWater diese Sicherheitslücke gezielt ausnutzt, um sich einen ersten Zugang zu den Netzwerken der Zielunternehmen zu verschaffen.
Schwachstelle in lokalen Installationen von Trend Micro Apex One
Die zweite von der CISA gelistete Sicherheitslücke betrifft die Endpoint-Sicherheitssoftware Apex One von Trend Micro und wird unter der Registrierungsnummer CVE-2026-34926 verwaltet. Diese Schwachstelle ist mit einem mittleren Schweregrad von 6.7 bewertet. Es handelt sich um einen sogenannten Directory-Traversal-Fehler, der ausschließlich in den lokalen On-Premise-Installationen der Software auftritt.
Cloudbasierte Versionen des Dienstes sind von diesem spezifischen Problem nicht betroffen. Ein lokaler Angreifer kann diesen Fehler nutzen, um eine interne Schlüsseltabelle auf dem zentralen Server zu modifizieren. Über diesen Vektor ist es möglich, bösartigen Programmiercode einzuschleusen, der im Anschluss automatisiert an die angebundenen Sicherheits-Agenten auf den einzelnen Arbeitsstationen im Netzwerk verteilt wird.
Höhere Hürde beim Hacken von Trend Micro
Trend Micro gab in einer technischen Mitteilung bekannt, dass mindestens ein realer Versuch der aktiven Ausnutzung dieser Schwachstelle in der Praxis beobachtet wurde. Allerdings sind die Hürden für eine erfolgreiche Ausnutzung im Vergleich zur Langflow-Lücke höher angesetzt. Ein potenzieller Angreifer muss bereits Zugriff auf den Apex One Server besitzen und sich im Vorfeld über eine andere Methode administrative Zugangsdaten für das System verschafft haben. Liegen diese Voraussetzungen vor, ermöglicht die Schwachstelle jedoch eine weitreichende Sabotage der zentralen Sicherheitssoftware des Unternehmens, da die Schutzmechanismen auf den Endgeräten manipuliert oder vollständig deaktiviert werden können.
Anforderungen an IT-Administratoren
Die zeitgleiche Aufnahme dieser beiden unterschiedlichen Sicherheitslücken verdeutlicht die Bandbreite der Angriffsvektoren im Jahr 2026. Während der Fehler in Trend Micro eine Absicherung bestehender lokaler Endpoint-Strukturen erfordert, zeigt das Beispiel Langflow die neuen Risiken, die mit der rasanten Einführung von KI-Infrastrukturen in Unternehmen einhergehen.
Die CISA rät_Administratoren dringend dazu, die bereitgestellten Sicherheitsupdates der Hersteller umgehend einzuspielen. Da die Frist für US-Behörden auf Anfang Juni festgesetzt wurde, sollten auch private Systembetreiber ihre Systeme prüfen. Ein verzögertes Einspielen der Patches erhöht das Risiko einer Kompromittierung erheblich, da automatisierte Scans von Bedrohungsakteuren das Internet kontinuierlich nach ungepatchten Systemen durchsuchen.
