📅 21 May 2026 · 📰 CISA · 🎯 Langflow Kullanan Kurumlar / Trend Micro Apex One Uç Noktaları · TLP:WHITE
CISA, 21 Mayıs 2026 tarihinde Known Exploited Vulnerabilities (KEV) Kataloğu'na iki yeni kritik açık ekledi: Langflow AI Workflow Platform'u etkileyen CVE-2025-34291 ve Trend Micro Apex One (On-Premise) ürününü etkileyen CVE-2026-34926. Her iki açığın da aktif olarak istismar edildiğine dair somut kanıtlar CISA tarafından tespit edilmiştir. KEV Kataloğu'na eklenen açıklar, federal kurumlar için yasal bir yamalama yükümlülüğü doğururken CISA tüm kuruluşları da acil önlem almaya davet etmektedir. Finans sektöründe AI iş akışı araçlarının ve uç nokta güvenlik çözümlerinin yaygın kullanımı göz önüne alındığında, bu iki açık bankacılık ve finans kurumları için yüksek risk barındırmaktadır.
CVE-2025-34291, Langflow platformunda bir Origin doğrulama hatası (Origin Validation Error) olarak sınıflandırılmaktadır. Langflow, LLM tabanlı AI iş akışlarının görsel olarak tasarlandığı ve Python kod bloklarının doğrudan çalıştırılabildiği bir platformdur; bu yapı, başarılı bir istismar durumunda saldırgana keyfi kod yürütme (RCE) kapısı açmaktadır. CVE-2026-34926 ise Trend Micro Apex One On-Premise bileşeninde dizin geçişi (directory traversal) zafiyetidir; kimlik doğrulaması gerektirmeksizin ajan kurulum süreçlerine müdahale edilerek kötü amaçlı kod enjeksiyonuna zemin hazırlayabilir. Her iki zafiyete ilişkin spesifik teknik saldırı zincirleri (exploit chain detayları) CISA'nın mevcut açıklamasında yer almamakta olup üretici güvenlik bültenleri ve CVE kayıtları takip edilmelidir.
CVE-2025-34291 için etkilenen Langflow sürümleri ve CVE-2026-34926 için etkilenen Trend Micro Apex One On-Premise sürüm aralıkları, CISA'nın mevcut duyurusunda belirtilmemiştir; güncel bilgi için üretici yamalarının ve NVD kayıtlarının incelenmesi gerekmektedir. Langflow'un bulut tabanlı ve öz barındırılan (self-hosted) kurulumlarının her ikisi de potansiyel risk altında olabilir. Trend Micro Apex One ürünü, kurumsal uç nokta koruma pazarında geniş bir kurulum tabanına sahip olup bu zafiyetin etki alanı küresel ölçekte önemli sayıda kurumu kapsayabilir.
CISA'nın KEV Kataloğu metodolojisine göre, bir açığın kataloğa alınabilmesi için aktif istismar kanıtı şartı aranmaktadır; dolayısıyla her iki CVE için de vahşi ortamda (in-the-wild) istismar faaliyeti gözlemlenmiş demektir. BOD 22-01 kapsamında Federal Civilian Executive Branch (FCEB) kurumlarının belirlenen son tarihe kadar yamalama yapması zorunludur. CISA, BOD 22-01 kapsamı dışındaki tüm özel sektör ve kritik altyapı kuruluşlarını da KEV Kataloğu'nda yer alan açıkları vulnerability management süreçlerinde önceliklendirerek yamalamaya güçlü biçimde teşvik etmektedir.
Finans sektörü için değerlendirildiğinde, Langflow gibi AI iş akışı platformlarının banka arka ofis otomasyonu, dolandırıcılık tespit akışları ve müşteri hizmetleri botları gibi kritik süreçlerde kullanılmaya başlandığı görülmektedir. Bu platformlara yönelik RCE riski, hassas finansal verilere ve iç sistemlere erişim anlamına gelebilir. Trend Micro Apex One'ın uç nokta koruma aracı olarak kurumsal ortamlarda üstlendiği kritik rol düşünüldüğünde, güvenlik aracının kendisinin istismar vektörüne dönüşmesi 'güven zinciri kırılması' (trust chain compromise) senaryosu ortaya çıkarmaktadır; Orta Doğu ve Türkiye'deki finans kurumlarının bu saldırı yüzeyini ivedilikle kapatması önerilir.