Nové zranitelnosti v katalogu CISA KEV – vydání 13b
CISA zařadila 25. března 2026 do katalogu aktivně zneužívaných zranitelností jednu novou položku – CVE-2026-33017 v open-source platformě Langflow.
Jedná se o kritickou zranitelnost (CVSS 9.3) umožňující vzdálené spuštění kódu bez autentizace. Chyba spočívá v endpointu pro spouštění veřejných flow, který přijímá od klienta definici toku obsahující libovolný Python kód a vykonává jej přímo pomocí funkce exec() bez jakéhokoli sandboxu.
Postiženy jsou všechny verze před 1.9.0. Oprava je dostupná ve verzi 1.9.0, kde byl endpoint upraven tak, aby akceptoval pouze flow uložené na serveru.
Doporučení: Pokud používáte Langflow, aktualizujte co nejdříve (pip install langflow==1.9.0 nebo vyšší).
Další články
YellowKey: výzkumník zveřejnil metodu obejití BitLockeru na Windows 11 pomocí USB klíče
Bezpečnostní výzkumník Nightmare-Eclipse zveřejnil exploit nazvaný YellowKey, který umožňuje útočníkovi s fyzickým přístupem k zařízení obejít šifrování BitLocker na Windows 11 a Windows Server 2022
Místopředseda ÚOOÚ k rozpoznávání obličejů na stadionech: pro využití kamer se musí změnit zákon
Místopředseda Úřadu pro ochranu osobních údajů Josef Mička vystoupil ve středu 13. května v rozhlasovém pořadu Dvacet minut Radiožurnálu k debatě, která v Česku rezonuje v souvislosti s návrhy fotba
Nizozemský dozorový úřad uložil taxi aplikaci pokutu 100 milionů eur za přenos dat do Ruska bez odpovídajících záruk
Nizozemský úřad pro ochranu osobních údajů (Autoriteit Persoonsgegevens) uložil provozovateli taxi aplikace pokutu sto milionů eur za to, že přenášel osobní údaje subjektů z Finska a Norska příjemců