Kritické CVE března 2026: od deserializace Cisco po dodavatelské řetězce Trivy
Březen 2026 zaznamenal zrychlení využívání zranitelností: exploity se objevují hodiny po zveřejnění, cíle – AI platformy a dodavatelské řetězce. Přehled klíčových CVE s CVSS 8.7+ a potvrzenou aktivitou ve volném prostředí.
Deserializace v Cisco Secure Firewall Management Center
CVE-2026-20131 (CVSS 10.0 KRITICKÉ)
Zranitelnost ve webovém rozhraní Cisco FMC umožňuje deserializovat škodlivé Java objekty bez ověření. Zasahuje všechny verze, včetně cloudového Cisco Security Cloud Control. Skupina Interlock využívala zero-day od 26. ledna 2026, CISA zařadila do KEV s termínem do 22. března.
Využívání: POST požadavek se serializovaným objektem vede k RCE s právy root.
Důsledky:
- Změna konfigurací firewallu.
- Zachycení provozu a krádež dat.
- Vstupní bod pro ransomware.
Ochrana:
- Aktualizovat FMC.
- Izolovat řídicí rozhraní za Zero Trust.
- Audit logů na deserializační payload (IoC od AWS).
RCE v Langflow bez ověření
CVE-2026-33017 (CVSS 9.3 KRITICKÉ)
Vizuální platforma pro AI agenty (145k+ hvězd GitHub) je zranitelná v endpointu /api/v1/build_public_tmp/{flow_id}/flow. Python kód z JSON payload se provádí přes exec() bez sandboxu. Zasahuje verze ≤1.8.2. Sysdig zaznamenala využití přes 20 hodin po bulletinu 17. března.
Využívání: jednoduchý POST se škodlivým kódem v node definitions.
Důsledky:
- RCE s právy procesu.
- Krádež tajemství (OpenAI API, DB hesla, SSH).
- Útok na integrované ML pipeline.
Ochrana:
- Upgrade na 1.9.0+ (1.8.2 je zranitelná podle JFrog).
- Rotace tajemství v env.
- FW/proxy s auth na Langflow.
- Monitorování POST k
/api/v1/a odchozího provozu.
Zero-day v Chrome: Skia a V8
CVE-2026-3909 (CVSS 8.7 VYSOKÉ) — out-of-bounds write v Skia (2D rendering).
CVE-2026-3910 (CVSS 8.7 VYSOKÉ) — type confusion v V8 (JS/WebAssembly).
Aktivní využití potvrzeno Google 10. března, CISA KEV s termínem do 27. března. Třetí zero-day v Chrome za 2026.
Využívání: škodlivá HTML/JS stránka (watering hole, malvertising).
Důsledky:
- Kód v renderer process: krádež cookies, sezení.
- Hrozba pro headless Chrome v CI/CD.
- Eskalace vyžaduje sandbox escape.
Ochrana:
- Chrome 146.0.7680.75+.
- Aktualizovat Chromium-based (Edge, Brave).
- Inventarizace headless instancí.
- Autoupdates.
Kompromitace dodavatelského řetězce Aqua Trivy
CVE-2026-33634 (CVSS 9.4 KRITICKÉ)
- března skupina TeamPCP kompromitovala dev účet, force-push škodlivých tagů do trivy-action GitHub Action. Sběr tajemství z CI/CD (tokens, SSH, cloud creds). Zasahuje Docker images a PyPI LiteLLM.
Využívání: Action exfiltrates env secrets při spuštění.
Důsledky:
- Přístup k AWS/GCP/Azure creds.
- Škodlivé trivy images na Docker Hub.
- Kaskáda na LLM knihovny.
Ochrana:
- Audit CI/CD po 19. březnu.
- Rotace všech tajemství.
- Kontrola trivy images.
- SHA-pinning GitHub Actions.
Microsoft Patch Tuesday: AI-XSS a Office RCE
79 CVE, 8 Kritické. Klíčové:
CVE-2026-26144 (CVSS 8.7 VYSOKÉ) — XSS v Excel Copilot Agent pro tichou exfiltraci dat.
Využívání: škodlivý XLSX aktivuje Copilot pro odeslání dat.
CVE-2026-26110/26113 (CVSS 8.6 VYSOKÉ) — RCE v Office od invalid pointer/type confusion.
Nginx UI a další
Nginx UI: Neověřené nahrávání záloh (potenciál RCE).
Grafana: SQLi → RCE via SQL expressions.
GNU InetUtils telnetd: Buffer overflow.
Android: Qualcomm zero-day.
Co je důležité
- Rekordní rychlost využití: 20h pro Langflow bez PoC.
- Dodavatelské řetězce pod útokem: Trivy, LiteLLM.
- AI útoky: Langflow exec(), Excel Copilot XSS.
- KEV CISA: Cisco, Chrome, prioritní patche.
- Headless Chrome v CI/CD – skrytá hrozba.
— Editorial Team
Zatím žádné komentáře.