CISA adiciona CVE-2026-34926 ao catálogo KEV e impõe prazo para correção de falha zero-day no Trend Micro Apex One

Falha crítica confirmada em ambiente de produção

A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou ao seu catálogo oficial de Vulnerabilidades Exploradas Conhecidas (KEV) a falha identificada como CVE-2026-34926, uma vulnerabilidade de directory traversal presente nas versões on-premise do Trend Micro Apex One. A inclusão, realizada em 21 de maio de 2026, decorre de evidências concretas de exploração ativa no ambiente real — a própria Trend Micro confirmou ao menos uma tentativa de abuso bem documentada antes da divulgação pública do patch.

Como a falha funciona e quem está em risco

A vulnerabilidade, classificada com pontuação CVSS de 6,7, permite que um atacante com acesso local ao servidor e credenciais administrativas previamente obtidas manipule tabelas-chave internas do sistema e injete código malicioso que pode ser distribuído para os agentes gerenciados pela plataforma. Apesar de o vetor de exploração exigir condições específicas — acesso físico ou de rede ao servidor e privilégios administrativos —, a presença da falha em ambientes corporativos que já passaram por comprometimento inicial a torna particularmente perigosa. Instalações em nuvem do Apex One não são afetadas; apenas implantações on-premise estão sob risco.

Patch disponível e janela de remediação estreita

A Trend Micro lançou atualizações de segurança na quinta-feira, 22 de maio de 2026, um dia após a listagem no KEV. Para agências civis federais dos Estados Unidos enquadradas no escopo do Federal Civilian Executive Branch (FCEB), a CISA impõe um prazo de apenas 14 dias a partir da publicação do aviso: todas as instâncias vulneráveis devem estar corrigidas até 4 de junho de 2026. Embora essa obrigação se aplique formalmente ao governo norte-americano, a recomendação da agência é que organizações privadas do setor privado tratem o CVE-2026-34926 com a mesma urgência.

Contexto mais amplo da ameaça

A adição do CVE-2026-34926 ao KEV ocorreu simultaneamente à inclusão de outra vulnerabilidade de alta criticidade — uma falha na plataforma Langflow de desenvolvimento de agentes de IA —, evidenciando um padrão de exploração oportunista que combina produtos amplamente usados em ambientes corporativos e governamentais. Para equipes de segurança que operam o Apex One on-premise, a prioridade imediata é aplicar o patch disponibilizado pela Trend Micro, auditar logs de acesso em busca de atividade administrativa anômala e revisar controles de acesso ao servidor central da solução.

Fonte original: SempreUpdate — CVE-2026-34926: zero-day crítico no Trend Micro Apex One adicionado ao catálogo CISA KEV. Corroborado por BleepingComputer, The Hacker News e Security Affairs.