Powrót do strony głównej

Top CVE marca 2026: RCE w Cisco i Langflow

Przegląd krytycznych CVE marca 2026: deserializacja w Cisco FMC (CVSS 10), RCE w Langflow i Chrome zero-day, kompromitacja Trivy. Aktywna eksploatacja, KEV CISA, kroki mitigation dla middle/senior.

🚨 Krytyczne CVE marca 2026: od RCE Cisco do ataków Trivy
Advertisement 728x90

Krytyczne CVE marca 2026: od deserializacji Cisco do łańcuchów dostaw Trivy

Marzec 2026 roku zaznaczył się przyspieszeniem eksploatacji luk: exploity pojawiają się w ciągu godzin od ujawnienia, celem są platformy AI i łańcuchy dostaw. Przegląd kluczowych CVE z CVSS 8.7+ i potwierdzoną aktywnością w naturze.

Deserializacja w Cisco Secure Firewall Management Center

CVE-2026-20131 (CVSS 10.0 CRITICAL)

Luka w interfejsie webowym Cisco FMC pozwala na deserializację złośliwych obiektów Java bez uwierzytelnienia. Dotyczy wszystkich wersji, w tym chmurowego Cisco Security Cloud Control. Grupa Interlock eksploatowała zero-day od 26 stycznia 2026, CISA dodała do KEV z terminem do 22 marca.

Google AdInline article slot

Eksploatacja: Żądanie POST z zserializowanym obiektem prowadzi do RCE z uprawnieniami root.

Konsekwencje:

  • Zmiana konfiguracji firewalli.
  • Przechwytywanie ruchu i kradzież danych.
  • Punkt wejścia dla ransomware.

Mitygacja:

Google AdInline article slot
  • Zaktualizuj FMC.
  • Izoluj interfejs management za Zero Trust.
  • Audyt logów na payloady deserializacyjne (IoC od AWS).

RCE w Langflow bez uwierzytelnienia

CVE-2026-33017 (CVSS 9.3 CRITICAL)

Wizualna platforma dla agentów AI (145k+ gwiazd GitHub) jest podatna w endpoint /api/v1/build_public_tmp/{flow_id}/flow. Kod Pythona z JSON payload jest wykonywany przez exec() bez sandboxa. Dotyczy wersji ≤1.8.2. Sysdig odnotowała eksploatację w ciągu 20 godzin od biuletynu 17 marca.

Eksploatacja: Pojedynczy POST ze złośliwym kodem w definicjach node.

Google AdInline article slot

Konsekwencje:

  • RCE z uprawnieniami procesu.
  • Kradzież sekretów (OpenAI API, hasła DB, SSH).
  • Atak na zintegrowane potoki ML.

Mitygacja:

  • Aktualizacja do 1.9.0+ (1.8.2 podatna według JFrog).
  • Rotacja sekretów w env.
  • FW/proxy z auth na Langflow.
  • Monitorowanie POST do /api/v1/ i ruchu outbound.

Zero-day w Chrome: Skia i V8

CVE-2026-3909 (CVSS 8.7 HIGH) — out-of-bounds write w Skia (rendering 2D).

CVE-2026-3910 (CVSS 8.7 HIGH) — type confusion w V8 (JS/WebAssembly).

Aktywna eksploatacja potwierdzona przez Google 10 marca, CISA KEV z terminem do 27 marca. Trzeci zero-day w Chrome w 2026.

Eksploatacja: Złośliwa strona HTML/JS (watering hole, malvertising).

Konsekwencje:

  • Kod w procesie renderer: kradzież cookies, sesji.
  • Zagrożenie dla headless Chrome w CI/CD.
  • Eskalacja wymaga escape sandbox.

Mitygacja:

  • Chrome 146.0.7680.75+.
  • Zaktualizuj Chromium-based (Edge, Brave).
  • Inwentaryzacja instancji headless.
  • Automatyczne aktualizacje.

Kompromitacja łańcucha dostaw Aqua Trivy

CVE-2026-33634 (CVSS 9.4 CRITICAL)

19 marca grupa TeamPCP skompromitowała dev-konto, force-push złośliwych tagów w trivy-action GitHub Action. Zbieranie sekretów z CI/CD (tokens, SSH, creds chmurowe). Dotknięte obrazy Docker i PyPI LiteLLM.

Eksploatacja: Akcja eksfiltruje sekrety środowiskowe podczas uruchomiania.

Konsekwencje:

  • Dostęp do creds AWS/GCP/Azure.
  • Złośliwe obrazy trivy na Docker Hub.
  • Kaskada na biblioteki LLM.

Mitygacja:

  • Audyt CI/CD po 19 marca.
  • Rotacja wszystkich sekretów.
  • Sprawdzenie obrazów trivy.
  • SHA-pinning GitHub Actions.

Microsoft Patch Tuesday: AI-XSS i Office RCE

79 CVE, 8 Critical. Kluczowe:

CVE-2026-26144 (CVSS 8.7 HIGH) — XSS w Excel Copilot Agent do cichej eksfiltracji danych.

Eksploatacja: Złośliwy XLSX aktywuje Copilot do wysyłania danych.

CVE-2026-26110/26113 (CVSS 8.6 HIGH) — RCE w Office przez invalid pointer/type confusion.

Nginx UI i inne

Nginx UI: Nieuwierzytelnione pobieranie backupów (potencjał RCE).

Grafana: SQLi → RCE przez wyrażenia SQL.

GNU InetUtils telnetd: Buffer overflow.

Android: Qualcomm zero-day.

Co ważne

  • Rekordowa prędkość eksploatacji: 20h dla Langflow bez PoC.
  • Łańcuchy dostaw pod atakiem: Trivy, LiteLLM.
  • Ataki AI: Langflow exec(), Excel Copilot XSS.
  • KEV CISA: Cisco, Chrome, priorytetowe patche.
  • Headless Chrome w CI/CD — ukryte zagrożenie.

— Editorial Team

Advertisement 728x90

Czytaj dalej