CISA : deux nouvelles vulnérabilités critiques activement exploitées ajoutées au catalogue KEV
La CISA ajoute deux vulnérabilités critiques au catalogue KEV : CVE-2026-33017 (Langflow : injection de code Python) et CVE-2026-33634 (compromission Trivy).
Publié le par Emmanuel LASTRA 1 min de lecture
La CISA a enrichi son catalogue des vulnérabilités exploitées connues (KEV) de deux nouvelles entrées en deux jours consécutifs.
Le 25 mars, l’agence a ajouté CVE-2026-33017 : dans l’outil Langflow, une mauvaise validation d’entrée permet à un attaquant d’injecter et d’exécuter du code Python arbitraire via un endpoint public, entraînant une exécution de code à distance sans authentification. Les versions inférieures à 1.9.0 sont concernées, la mise à jour vers la version 1.9.0 ou ultérieure est requise.
Le 26 mars, c’est CVE-2026-33634: une compromission de la chaîne d’approvisionnement de l’écosystème Trivy a permis la diffusion de versions malveillantes et l’altération de tags GitHub Actions, exposant potentiellement les secrets des pipelines CI/CD. Sont notamment affectés Trivy 0.69.4, trivy-action < 0.35.0, setup-trivy < 0.2.6 ainsi que LiteLLM (versions 1.82.7 à 1.82.8), également touché dans le cadre de cette campagne. Il est recommandé de migrer vers des versions saines (≥ 0.35.0 pour trivy-action, ≥ 0.2.6 pour setup-trivy, versions non compromises de Trivy et > 1.82.8 pour LiteLLM) et de renouveler immédiatement tous les secrets si une exécution suspecte est possible.
Dans les deux cas, il est recommandé d’appliquer les mesures correctives des éditeurs.
Sources :