Due voci KEV, un messaggio: i confini di fiducia sono il nuovo raggio d’esplosione
L’ultima mossa di CISA sulle vulnerabilità sfruttate porta un errore di controllo dell’origine in Langflow e una falla di Trend Micro Apex One nella stessa coda urgente di patch, mostrando come percorsi d’attacco diversi possano comunque sfociare nello stesso problema operativo.
La parte più inquietante di una voce KEV non è il numero CVE; è il segnale che qualcuno ha già trovato un modo per usare il bug nel mondo reale. È questo che rende degno di attenzione questo aggiornamento. Un problema di Langflow tracciato come CVE-2025-34291, insieme a una vulnerabilità separata di Trend Micro Apex One, è stato aggiunto al catalogo Known Exploited Vulnerabilities dopo prove di sfruttamento attivo. Per i difensori, questo sposta la domanda da “Quanto è grave?” a “Quanto siamo esposti adesso?”
Dati rapidi
- CISA ha aggiunto due falle al suo catalogo KEV: una in Langflow e una in Trend Micro Apex One.
- CVE-2025-34291 è un errore di convalida dell’origine in Langflow con un punteggio CVSS di 9,4.
- L’inclusione nel KEV significa che il problema viene trattato come attivamente sfruttato, non solo teorico.
- Langflow è una piattaforma di workflow AI guidata dal browser, quindi gli errori nei confini di fiducia possono trasformarsi in problemi di sessione e autorizzazione.
- Apex One si trova nel piano di gestione della sicurezza, dove qualsiasi compromissione può avere conseguenze a valle più ampie.
Perché queste due falle contano insieme
Il problema di Langflow è un classico fallimento del confine di fiducia. Un errore di convalida dell’origine può far sì che un’applicazione web si fidi del contesto del browser sbagliato, il che è pericoloso quando l’applicazione gestisce anche token, flussi di refresh o azioni autenticate. In termini pratici, questo tipo di bug può consentire a un attaccante di passare da un sito web malevolo a una sessione della vittima e, in alcune distribuzioni, la portata può andare ben oltre l’interfaccia.
L’elemento di Trend Micro è diverso, ma la lezione per i difensori è simile. Le piattaforme di sicurezza sono bersagli di alto valore perché si trovano vicino alla policy, alla distribuzione degli agent e al controllo degli endpoint. Anche quando una falla non consente un semplice takeover remoto, una debolezza in quel livello di gestione può comunque creare un rischio sproporzionato se un attaccante raggiunge il giusto percorso interno.
A questo punto, la lettura più sicura è ristretta e operativa: CISA ha trattato entrambi i problemi come sufficientemente sfruttati da meritare attenzione immediata. I dettagli tecnici completi per la voce Trend Micro non sono completamente visibili nel materiale fornito, quindi il percorso di exploit esatto dovrebbe essere trattato con cautela anziché dato per scontato.
Per le organizzazioni che eseguono Langflow, la priorità è verificare le versioni, rivedere l’esposizione e controllare se le impostazioni relative all’origine del browser e alla gestione dei token siano rese più sicure. Per gli utenti di Apex One, la priorità è identificare le build interessate, applicare gli aggiornamenti del vendor e monitorare il piano di gestione per attività anomale. In entrambi i casi, la patch è solo una parte del lavoro; i difensori devono anche cercare segni che la debolezza possa essere già stata sfruttata.
Il materiale pubblico non descrive completamente i meccanismi di Trend Micro, e la descrizione di Langflow racconta solo una parte della storia. Questa incertezza è di per sé utile: quando una falla finisce nel KEV, la risposta corretta non è il dibattito, ma il contenimento, la validazione e una rapida correzione.
Conclusione
La lezione più ampia è semplice: gli attaccanti non hanno bisogno della stessa tecnica due volte per ottenere lo stesso risultato. Un errore sull’origine del browser in una piattaforma AI e una falla nella gestione della sicurezza degli endpoint diventano entrambe urgenti una volta che vengono usate nel mondo reale. Nella cybersecurity, la vera divisione non è più tra bug “nuovi” e “vecchi”; è tra sistemi esposti e tutto il resto.
WIKICROOK
- catalogo KEV: l’elenco di CISA delle vulnerabilità note per essere sfruttate nel mondo reale, usato per guidare la correzione urgente.
- CVE: un identificatore standardizzato per una vulnerabilità di sicurezza pubblicamente nota.
- CVSS: un sistema di punteggio che valuta la gravità di una vulnerabilità su una scala numerica.
- Convalida dell’origine: un controllo che verifica se una richiesta web proviene davvero da un contesto del browser fidato.
- Piano di gestione: il livello amministrativo usato per configurare, distribuire e controllare strumenti di sicurezza o infrastruttura.




