सीआईएसए ने लैंगफ्लो और ट्रेंड माइक्रो में दो सक्रिय खामियों की चेतावनी दी

बुनियादी ढांचा और साइबर सुरक्षा एजेंसी (CISA) ने अपने KEV कैटलॉग में दो नई कमजोरियाँ जोड़ी हैं। पहली लैंगफ्लो (Langflow) को प्रभावित करती है, जो एक कृत्रिम बुद्धिमत्ता उपकरण है, और दूसरी ट्रेंड माइक्रो एपेक्स वन (Trend Micro Apex One) को। दोनों का हमलावरों द्वारा सिस्टम से समझौता करने के लिए सक्रिय रूप से शोषण किया जा रहा है। अपडेट करना तत्काल आवश्यक है।

साइबर सुरक्षा संचालन केंद्र निगरानी स्टेशन, बड़ी डिजिटल स्क्रीन जिसमें दो सक्रिय खतरे की चेतावनियाँ एक साथ दिख रही हैं: बायाँ पैनल मैलिशियस कोड इंजेक्शन फ्लो के साथ लैंगफ्लो AI इंटरफ़ेस दिखा रहा है, दायाँ पैनल समझौता किए गए एंडपॉइंट चेतावनी के साथ ट्रेंड माइक्रो एपेक्स वन कंसोल दिखा रहा है, लाल चमकते संकेतक स्पंदित हो रहे हैं, कमजोर सर्वरों से जुड़ने वाली नेटवर्क ट्रैफ़िक लाइनें, आपातकालीन अपडेट शुरू करने के लिए कीबोर्ड की ओर बढ़ता तकनीशियन का हाथ, नाटकीय नीली और लाल रोशनी, होलोग्राफिक डेटा स्ट्रीम, सिनेमैटिक फोटोरियलिस्टिक तकनीकी चित्रण, उच्च कंट्रास्ट औद्योगिक वातावरण, चमकते खतरे के मार्करों के साथ विस्तृत UI तत्व

AI और सुरक्षा में कमजोरियों के तकनीकी विवरण 🛡️

लैंगफ्लो में खामी, जिसे CVE-2025-3248 के रूप में पहचाना गया है, एक अप्रमाणित पथ के माध्यम से रिमोट कोड निष्पादन की अनुमति देती है। वहीं, ट्रेंड माइक्रो एपेक्स वन (CVE-2025-24085) में कमजोरी में विशेषाधिकार वृद्धि शामिल है जो हमलावर को सिस्टम का पूर्ण नियंत्रण दे सकती है। दोनों के लिए तत्काल पैच की आवश्यकता है। सुरक्षा टीमों को घुसपैठ से बचने के लिए उनके आवेदन को प्राथमिकता देनी चाहिए।

तुम्हारा एंटीवायरस भी तुम्हें धोखा दे सकता है, क्या विडंबना है 😅

पता चला कि वही उपकरण जो तुम्हारी रक्षा करनी चाहिए, ट्रेंड माइक्रो एपेक्स वन, में एक छेद है जिससे बुरे लोग अपने घर की तरह अंदर आ जाते हैं। और अगर तुम AI बनाने के लिए लैंगफ्लो का उपयोग करते हो, तो कोई इसका उपयोग अराजकता फैलाने के लिए कर सकता है। तो अब तुम जानते हो: अपडेट करो या अपने बॉस को समझाने के लिए तैयार रहो कि तुम्हारे सिस्टम क्यों गाने गा रहे हैं।