Nové zranitelnosti v katalogu CISA KEV – vydání 13b
CISA zařadila 25. března 2026 do katalogu aktivně zneužívaných zranitelností jednu novou položku – CVE-2026-33017 v open-source platformě Langflow.
Jedná se o kritickou zranitelnost (CVSS 9.3) umožňující vzdálené spuštění kódu bez autentizace. Chyba spočívá v endpointu pro spouštění veřejných flow, který přijímá od klienta definici toku obsahující libovolný Python kód a vykonává jej přímo pomocí funkce exec() bez jakéhokoli sandboxu.
Postiženy jsou všechny verze před 1.9.0. Oprava je dostupná ve verzi 1.9.0, kde byl endpoint upraven tak, aby akceptoval pouze flow uložené na serveru.
Doporučení: Pokud používáte Langflow, aktualizujte co nejdříve (pip install langflow==1.9.0 nebo vyšší).

Další články

OkoBot krade seed phrases z Ledgeru a Trezoru: modul SeedHunter útočí zevnitř legitimní aplikace
Malware OkoBot aktivně napadá hardwarové kryptoměnové peněženky od dubna 2025. Jeho modul SeedHunter zobrazí falešnou výzvu k zadání seed phrase uvnitř skutečné peněženkové aplikace – žádná falzifik

Nové zranitelnosti v katalogu CISA KEV – vydání 29b
Do katalogu aktivně zneužívaných zranitelností přibyly 15. července dvě nové položky: jedna v Oracle E-Business Suite, druhá v protokolu KNX používaném v systémech budov.

EDPB: belgická DPA musí věcně projednat stížnost NOYB na cookie banner VRT
Evropský sbor pro ochranu osobních údajů svým závazným rozhodnutím zamítl procesní odmítnutí stížnosti belgickým dozorovým úřadem a uložil mu stížnost posoudit věcně.
