Zpět na domů

Top CVE března 2026: RCE v Cisco a Langflow

Přehled kritických CVE března 2026: deserializace v Cisco FMC (CVSS 10), RCE v Langflow a Chrome zero-day, kompromitace Trivy. Aktivní exploitace, KEV CISA, kroky mitigace pro middle/senior.

🚨 Kritické CVE března 2026: od Cisco RCE do Trivy útoků
Advertisement 728x90

Kritické CVE března 2026: od deserializace Cisco po dodavatelské řetězce Trivy

Březen 2026 zaznamenal zrychlení využívání zranitelností: exploity se objevují hodiny po zveřejnění, cíle – AI platformy a dodavatelské řetězce. Přehled klíčových CVE s CVSS 8.7+ a potvrzenou aktivitou ve volném prostředí.

Deserializace v Cisco Secure Firewall Management Center

CVE-2026-20131 (CVSS 10.0 KRITICKÉ)

Zranitelnost ve webovém rozhraní Cisco FMC umožňuje deserializovat škodlivé Java objekty bez ověření. Zasahuje všechny verze, včetně cloudového Cisco Security Cloud Control. Skupina Interlock využívala zero-day od 26. ledna 2026, CISA zařadila do KEV s termínem do 22. března.

Google AdInline article slot

Využívání: POST požadavek se serializovaným objektem vede k RCE s právy root.

Důsledky:

  • Změna konfigurací firewallu.
  • Zachycení provozu a krádež dat.
  • Vstupní bod pro ransomware.

Ochrana:

Google AdInline article slot
  • Aktualizovat FMC.
  • Izolovat řídicí rozhraní za Zero Trust.
  • Audit logů na deserializační payload (IoC od AWS).

RCE v Langflow bez ověření

CVE-2026-33017 (CVSS 9.3 KRITICKÉ)

Vizuální platforma pro AI agenty (145k+ hvězd GitHub) je zranitelná v endpointu /api/v1/build_public_tmp/{flow_id}/flow. Python kód z JSON payload se provádí přes exec() bez sandboxu. Zasahuje verze ≤1.8.2. Sysdig zaznamenala využití přes 20 hodin po bulletinu 17. března.

Využívání: jednoduchý POST se škodlivým kódem v node definitions.

Google AdInline article slot

Důsledky:

  • RCE s právy procesu.
  • Krádež tajemství (OpenAI API, DB hesla, SSH).
  • Útok na integrované ML pipeline.

Ochrana:

  • Upgrade na 1.9.0+ (1.8.2 je zranitelná podle JFrog).
  • Rotace tajemství v env.
  • FW/proxy s auth na Langflow.
  • Monitorování POST k /api/v1/ a odchozího provozu.

Zero-day v Chrome: Skia a V8

CVE-2026-3909 (CVSS 8.7 VYSOKÉ) — out-of-bounds write v Skia (2D rendering).

CVE-2026-3910 (CVSS 8.7 VYSOKÉ) — type confusion v V8 (JS/WebAssembly).

Aktivní využití potvrzeno Google 10. března, CISA KEV s termínem do 27. března. Třetí zero-day v Chrome za 2026.

Využívání: škodlivá HTML/JS stránka (watering hole, malvertising).

Důsledky:

  • Kód v renderer process: krádež cookies, sezení.
  • Hrozba pro headless Chrome v CI/CD.
  • Eskalace vyžaduje sandbox escape.

Ochrana:

  • Chrome 146.0.7680.75+.
  • Aktualizovat Chromium-based (Edge, Brave).
  • Inventarizace headless instancí.
  • Autoupdates.

Kompromitace dodavatelského řetězce Aqua Trivy

CVE-2026-33634 (CVSS 9.4 KRITICKÉ)

  • března skupina TeamPCP kompromitovala dev účet, force-push škodlivých tagů do trivy-action GitHub Action. Sběr tajemství z CI/CD (tokens, SSH, cloud creds). Zasahuje Docker images a PyPI LiteLLM.

Využívání: Action exfiltrates env secrets při spuštění.

Důsledky:

  • Přístup k AWS/GCP/Azure creds.
  • Škodlivé trivy images na Docker Hub.
  • Kaskáda na LLM knihovny.

Ochrana:

  • Audit CI/CD po 19. březnu.
  • Rotace všech tajemství.
  • Kontrola trivy images.
  • SHA-pinning GitHub Actions.

Microsoft Patch Tuesday: AI-XSS a Office RCE

79 CVE, 8 Kritické. Klíčové:

CVE-2026-26144 (CVSS 8.7 VYSOKÉ) — XSS v Excel Copilot Agent pro tichou exfiltraci dat.

Využívání: škodlivý XLSX aktivuje Copilot pro odeslání dat.

CVE-2026-26110/26113 (CVSS 8.6 VYSOKÉ) — RCE v Office od invalid pointer/type confusion.

Nginx UI a další

Nginx UI: Neověřené nahrávání záloh (potenciál RCE).

Grafana: SQLi → RCE via SQL expressions.

GNU InetUtils telnetd: Buffer overflow.

Android: Qualcomm zero-day.

Co je důležité

  • Rekordní rychlost využití: 20h pro Langflow bez PoC.
  • Dodavatelské řetězce pod útokem: Trivy, LiteLLM.
  • AI útoky: Langflow exec(), Excel Copilot XSS.
  • KEV CISA: Cisco, Chrome, prioritní patche.
  • Headless Chrome v CI/CD – skrytá hrozba.

— Editorial Team

Advertisement 728x90

Číst dál