Nové zranitelnosti v katalogu CISA KEV – vydání 13b
CISA zařadila 25. března 2026 do katalogu aktivně zneužívaných zranitelností jednu novou položku – CVE-2026-33017 v open-source platformě Langflow.
Jedná se o kritickou zranitelnost (CVSS 9.3) umožňující vzdálené spuštění kódu bez autentizace. Chyba spočívá v endpointu pro spouštění veřejných flow, který přijímá od klienta definici toku obsahující libovolný Python kód a vykonává jej přímo pomocí funkce exec() bez jakéhokoli sandboxu.
Postiženy jsou všechny verze před 1.9.0. Oprava je dostupná ve verzi 1.9.0, kde byl endpoint upraven tak, aby akceptoval pouze flow uložené na serveru.
Doporučení: Pokud používáte Langflow, aktualizujte co nejdříve (pip install langflow==1.9.0 nebo vyšší).
Další články
Nové zranitelnosti v katalogu CISA KEV – vydání 13b
CISA přidala 25. března 2026 do katalogu aktivně zneužívaných zranitelností jednu novou položku. Týká se open-source platformy Langflow pro orchestraci AI pipeline a umožňuje vzdálené spuštění kódu be
Výroční zpráva ÚOOÚ za rok 2025: Rekordní nárůst stížností a varování před kapacitními limity
Počet stížností vzrostl o 68 % na rekordních 2 514 – nejvyšší hodnotu od účinnosti GDPR. Rok přinesl také první legislativní regulaci biometrické identifikace v reálném čase a opakované varování, že k
Útok na dodavatelský řetězec LiteLLM: TeamPCP kompromitoval PyPI balíček po dobu tří hodin
Oblíbený open-source balíček LiteLLM byl 24. března 2026 po dobu přibližně tří hodin dostupný ve dvou backdoorovaných verzích na platformě PyPI. Za útokem stojí skupina TeamPCP, která se k publikaci š