Nové zranitelnosti v katalogu CISA KEV – vydání 13b
CISA zařadila 25. března 2026 do katalogu aktivně zneužívaných zranitelností jednu novou položku – CVE-2026-33017 v open-source platformě Langflow.
Jedná se o kritickou zranitelnost (CVSS 9.3) umožňující vzdálené spuštění kódu bez autentizace. Chyba spočívá v endpointu pro spouštění veřejných flow, který přijímá od klienta definici toku obsahující libovolný Python kód a vykonává jej přímo pomocí funkce exec() bez jakéhokoli sandboxu.
Postiženy jsou všechny verze před 1.9.0. Oprava je dostupná ve verzi 1.9.0, kde byl endpoint upraven tak, aby akceptoval pouze flow uložené na serveru.
Doporučení: Pokud používáte Langflow, aktualizujte co nejdříve (pip install langflow==1.9.0 nebo vyšší).
Další články
Evropská komise představila aplikaci pro ověřování věku online založenou na principu nulové znalosti
Evropská komise oznámila dokončení aplikace pro ověřování věku v digitálním prostředí. Řešení funguje na principu zero-knowledge proof (ZKP) – uživatel prokáže, že splňuje určitou věkovou hranici, ani
NÚKIB: Přehled kybernetických incidentů za březen 2026
NÚKIB v březnu 2026 evidoval 20 kybernetických incidentů, přičemž počet závažných incidentů dosáhl nejvyšší hodnoty za poslední rok – hned čtyři případy splnily kritéria pro toto označení.
CISA KEV – vydání 16b: Dvě nové aktivně zneužívané zranitelnosti
CISA přidala 14. dubna 2026 do katalogu Known Exploited Vulnerabilities dvě další zranitelnosti s potvrzenou aktivní exploitací.