TrendAI, de enterprise tak van Trend Micro, heeft klanten geïnformeerd over een patch voor een zero-day kwetsbaarheid in Apex One die in het wild wordt misbruikt. Het gaat om een directory traversal-kwetsbaarheid met medium ernst, geregistreerd als CVE-2026-34926. Deze kwetsbaarheid kan door een niet-geauthenticeerde lokale aanvaller worden gebruikt om een belangrijke tabel op de server aan te passen en zo kwaadaardige code te injecteren die wordt uitgerold naar agents op getroffen installaties.

TrendAI benadrukt dat voor het misbruiken van deze kwetsbaarheid administratorrechten op de server vereist zijn en dat de aanval alleen werkt op de on-premises versie van Apex One. Er zijn geen details gedeeld over daadwerkelijke aanvallen die deze zero-day benutten. De kwetsbaarheid werd intern ontdekt door het incident response-team van TrendAI. Hoewel het niet ongebruikelijk is dat Apex-producten doelwit zijn van aanvallen, wordt informatie over de daders zelden openbaar gemaakt. Eerdere aanvallen werden soms toegeschreven aan Chinese door de staat gesponsorde hackers, en gezien de benodigde toegang is het waarschijnlijk dat ook deze kwetsbaarheid door een geavanceerde bedreigingsactor (APT) is misbruikt.

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2026-34926 toegevoegd aan haar catalogus van bekende misbruikte kwetsbaarheden en adviseert federale instanties om de patch uiterlijk 4 juni toe te passen. Deze catalogus bevat momenteel tien andere Apex-gerelateerde CVE’s. Naast CVE-2026-34926 verhelpen de nieuwste updates van Apex One ook meerdere andere kwetsbaarheden met hoge ernst, die kunnen leiden tot lokale privilege-escalatie.

TrendAI adviseert klanten om niet alleen tijdig patches toe te passen, maar ook de toegang op afstand tot kritieke systemen te herzien en te zorgen dat beleidsregels en perimeterbeveiliging actueel zijn. Het exploiteren van deze kwetsbaarheden vereist doorgaans fysieke of remote toegang tot een kwetsbare machine.