ثغرة Smart Slider WordPress تكشف 800 ألف موقع، ثغرة LangChain AI الثلاثية تسرب الأسرار، هجوم TeamPCP Telnyx WAV الإخفائي يتصاعد، تنبيه CISA PTC Windchill يستنفر الشرطة الألمانية، خرق Hightower يطال 130 ألف
ثغرة قراءة ملفات حرجة في إضافة Smart Slider 3 لـ WordPress تكشف 800,000 موقع لسرقة بيانات الاعتماد. ثلاث ثغرات مكتشفة حديثاً في LangChain و LangGraph تهدد عمليات نشر الذكاء الاصطناعي المؤسسية بتسريب الملفات وحقن SQL. يصعّد TeamPCP حملته على سلسلة التوريد بإدخال باب خلفي في حزمة Telnyx PyPI باستخدام إخفاء المعلومات في ملفات WAV. تُشير CISA إلى ثغرة حرجة في PTC Windchill دفعت الشرطة الألمانية للتحذير الميداني. خرق بيانات Hightower Holding يكشف أرقام الضمان الاجتماعي لـ 130,000 شخص.
1. ثغرة إضافة Smart Slider 3 لـ WordPress تكشف 800,000 موقع لسرقة بيانات الاعتماد
⚠️ حرج — CVE-2026-3098: قراءة ملفات عشوائية في Smart Slider 3 (أكثر من 800 ألف تثبيت نشط)
ثغرة في Smart Slider 3 (الإصدارات حتى 3.5.1.33) تسمح لأي مستخدم مصادق — بما في ذلك المشتركين — بقراءة ملفات خادم عشوائية مثل wp-config.php. قم بالتحديث إلى الإصدار 3.5.1.34 فوراً.
ثغرة في إحدى أكثر إضافات السلايدر شيوعاً في WordPress عرّضت مئات الآلاف من المواقع لخطر الاستيلاء الكامل. الثغرة، المتتبعة كـ CVE-2026-3098، تؤثر على Smart Slider 3 — النشط على أكثر من 800,000 تثبيت WordPress.
- كشف wp-config.php: يمكن للمهاجمين قراءة بيانات اعتماد قاعدة البيانات ومفاتيح المصادقة
- حاجز منخفض: حساب مشترك يكفي — لا حاجة لصلاحيات المسؤول
- النطاق: ما لا يقل عن 500,000 موقع لا تزال معرضة
منظور KENSAI
تظل ثغرات إضافات WordPress من أكثر نواقل الهجوم موثوقية على الإنترنت. فحص تطبيقات الويب من KENSAI يحدد الإضافات القديمة والثغرات المعروفة.
2. ثغرة LangChain & LangGraph الثلاثية تهدد عمليات نشر الذكاء الاصطناعي المؤسسية
⚠️ عالي — ثلاث ثغرات حرجة في LangChain/LangGraph: اجتياز المسار، إلغاء التسلسل، حقن SQL
CVE-2026-34070 (CVSS 7.5) وCVE-2025-68664 (CVSS 9.3) وCVE-2025-67644 (CVSS 7.3) تكشف بيانات نظام الملفات ومفاتيح API وسجلات المحادثات.
ثلاث ثغرات أمنية في LangChain وLangGraph قد تكشف بيانات المؤسسات عبر ثلاثة مسارات هجوم مستقلة. مع تنزيلات أسبوعية مجمعة تتجاوز 84 مليون، نطاق التأثير هائل.
منظور KENSAI
أطر عمل الذكاء الاصطناعي أصبحت بنية تحتية حرجة. فحص التبعيات من KENSAI يساعد في تحديد الإصدارات المعرضة قبل المهاجمين.
3. TeamPCP يُدخل باباً خلفياً في حزمة Telnyx PyPI بإخفاء WAV
⚠️ حرج — هجوم سلسلة التوريد: إصدارات Telnyx PyPI 4.87.1 و4.87.2 مخترقة
اخترق TeamPCP حزمة Telnyx Python SDK الرسمية على PyPI، مخفياً برمجية خبيثة لسرقة بيانات الاعتماد في ملفات WAV صوتية. قم بالتراجع إلى 4.87.0 فوراً.
ممثل تهديد سلسلة التوريد الغزير TeamPCP ضرب مجدداً — مخترقاً هذه المرة Telnyx Python SDK الرسمي على PyPI، حزمة تتجاوز 740,000 تنزيل شهرياً.
منظور KENSAI
المراقبة المستمرة من KENSAI تحدد تعرض سلسلة التوريد عبر شجرة التبعيات بالكامل.
4. CISA تُشير إلى ثغرة PTC Windchill الحرجة — الشرطة الألمانية تستنفر
⚠️ عالي — CVE-2026-4681: ثغرة PTC Windchill الحرجة دفعت الشرطة الألمانية للتحذير الميداني
أضافت CISA الثغرة CVE-2026-4681 إلى كتالوج KEV. قامت الشرطة الألمانية بزيارة المؤسسات شخصياً لتحذيرها.
في إجراء نادر للغاية، قامت الشرطة الألمانية بزيارة المؤسسات شخصياً لتحذيرها من ثغرة حرجة في برنامج PLM Windchill من PTC.
منظور KENSAI
فحص البنية التحتية من KENSAI يحدد واجهات الإدارة المكشوفة والبرمجيات المؤسسية غير المرقعة.
5. خرق بيانات Hightower Holding يطال 130,000 شخص
كشفت شركة الحيازات المالية Hightower Holding عن خرق بيانات يطال حوالي 130,000 شخص. تشمل البيانات المخترقة الأسماء وأرقام الضمان الاجتماعي وأرقام رخص القيادة.
منظور KENSAI
اختبارات الاختراق الآلية من KENSAI تحدد تعرض الشبكة وضوابط الوصول المُعدة بشكل خاطئ.
ملخص البحث والمنتجات اليومي
| التطور | التأثير | النوع | الإجراء المطلوب |
|---|---|---|---|
| Smart Slider 3 WordPress CVE-2026-3098 | حرج | ثغرة | التحديث إلى v3.5.1.34 |
| ثغرة LangChain/LangGraph الثلاثية | حرج | ثغرة | تحديث langchain-core وlanggraph |
| TeamPCP Telnyx PyPI باب خلفي | حرج | سلسلة التوريد | التراجع إلى Telnyx 4.87.0 |
| CISA PTC Windchill CVE-2026-4681 | عالي | ثغرة | ترقيع Windchill |
| خرق Hightower Holding — 130 ألف | متوسط | خرق بيانات | مراقبة سرقة الهوية |