剣 KENSAI
← All posts · research · 2026-03-30 · 6 min

Smart-Slider-WordPress-Schwachstelle gefährdet 800.000 Websites, LangChain-KI-Framework dreifache Sicherheitslücke leakt Geheimnisse, TeamPCP-Telnyx-WAV-Steganografie-Angriff eskaliert, CISA-PTC-Windchill-Warnung mobilisiert deutsche Polizei, Hightower-Datenleck betrifft 130.000

Eine kritische Dateilese-Schwachstelle im Smart-Slider-3-WordPress-Plugin gefährdet 800.000 Websites durch Credential-Diebstahl. Drei neu offengelegte LangChain- und LangGraph-Schwachstellen bedrohen KI-Unternehmensbereitstellungen mit Datei-Exfiltration und SQL-Injection. TeamPCP eskaliert seine Supply-Chain-Kampagne durch Backdooring des Telnyx-PyPI-Pakets mit WAV-Steganografie. CISA kennzeichnet eine kritische PTC-Windchill-Schwachstelle, die deutsche Polizei zu physischen Warnungen veranlasste. Hightower-Holding-Datenleck legt Sozialversicherungsnummern und Führerscheindaten von 130.000 Personen offen.


1. Smart-Slider-3-WordPress-Plugin-Schwachstelle gefährdet 800.000 Websites durch Credential-Diebstahl

⚠️ KRITISCH — CVE-2026-3098: Beliebiges Dateilesen in Smart Slider 3 (800K+ aktive Installationen)

Eine mittelschwere Schwachstelle in Smart Slider 3 (Versionen bis 3.5.1.33) ermöglicht jedem authentifizierten Benutzer — einschließlich Abonnenten — das Lesen beliebiger Server-Dateien wie wp-config.php. Aktualisieren Sie sofort auf Version 3.5.1.34.

Eine Schwachstelle in einem der beliebtesten WordPress-Slider-Plugins hat Hunderttausende von Websites dem Risiko einer vollständigen Übernahme ausgesetzt. Die als CVE-2026-3098 verfolgte Schwachstelle betrifft Smart Slider 3 — ein Drag-and-Drop-Content-Karussell-Plugin, das auf mehr als 800.000 WordPress-Installationen aktiv ist.

Die vom Forscher Dmitrii Ignatyev entdeckte und von Wordfence validierte Schwachstelle resultiert aus fehlenden Berechtigungsprüfungen in den AJAX-Export-Aktionen des Plugins. Die Funktion actionExportAll prüft weder Dateityp noch Quelle, sodass jeder authentifizierte Benutzer — selbst mit der niedrigsten „Abonnent"-Rolle — beliebige Dateien vom Server lesen kann.

Warum das schlimmer ist als es klingt

KENSAI-Perspektive

WordPress-Plugin-Schwachstellen gehören zu den zuverlässigsten Angriffsvektoren im Internet. Mit 800.000 Installationen und einer niedrigen Ausnutzungshürde ist CVE-2026-3098 ein erstklassiges Ziel für automatisierte Scanner. KENSAIs Web-Application-Scanning erkennt veraltete Plugins und bekannte CVEs in Ihrer gesamten Web-Infrastruktur.


2. LangChain & LangGraph dreifache Sicherheitslücke bedroht KI-Unternehmensbereitstellungen

⚠️ HOCH — Drei kritische Schwachstellen in LangChain/LangGraph: Path Traversal, Deserialisierung, SQL-Injection

CVE-2026-34070 (CVSS 7,5), CVE-2025-68664 (CVSS 9,3) und CVE-2025-67644 (CVSS 7,3) exponieren Dateisystemdaten, API-Schlüssel und Konversationshistorien in den beliebtesten KI-Entwicklungsframeworks der Welt.

Drei Sicherheitslücken in LangChain und LangGraph — den dominierenden Open-Source-Frameworks für LLM-basierte Anwendungen — könnten Unternehmensdaten über drei unabhängige Angriffspfade offenlegen. Mit kombinierten wöchentlichen Downloads von über 84 Millionen auf PyPI ist der Explosionsradius enorm.

Die dreifache Bedrohung

„LangChain existiert nicht isoliert. Es steht im Zentrum eines massiven Abhängigkeitsnetzwerks, das sich über den gesamten KI-Stack erstreckt", warnte Cyera. Tage zuvor wurde eine kritische Langflow-Schwachstelle innerhalb von 20 Stunden nach Offenlegung aktiv ausgenutzt.

KENSAI-Perspektive

KI-Frameworks werden zu kritischer Infrastruktur, tragen aber dieselben klassischen Schwachstellenklassen wie Webanwendungen seit Jahrzehnten. KENSAIs Dependency-Scanning hilft Organisationen, verwundbare LangChain-Versionen zu identifizieren, bevor Angreifer es tun.


3. TeamPCP backdoort Telnyx-PyPI-Paket mit WAV-Steganografie

⚠️ KRITISCH — Supply-Chain-Angriff: Telnyx-PyPI-Versionen 4.87.1 & 4.87.2 backdoort

TeamPCP hat das offizielle Telnyx Python SDK auf PyPI kompromittiert und Credential-stehlende Malware in WAV-Audiodateien versteckt. Sofort auf Version 4.87.0 downgraden.

Der produktive Supply-Chain-Bedrohungsakteur TeamPCP hat erneut zugeschlagen — diesmal das offizielle Telnyx Python SDK auf PyPI kompromittiert, ein Paket mit über 740.000 monatlichen Downloads für VoIP-, SMS- und IoT-Integration.

Die WAV-Steganografie-Technik

KENSAI-Perspektive

Die kaskadierenden Supply-Chain-Angriffe sind die bestimmende Sicherheitsherausforderung von 2026. KENSAIs kontinuierliches Monitoring identifiziert Supply-Chain-Expositionen über Ihren gesamten Abhängigkeitsbaum.


4. CISA markiert kritische PTC-Windchill-Schwachstelle — Deutsche Polizei mobilisiert

⚠️ HOCH — CVE-2026-4681: Kritische PTC-Windchill-Schwachstelle veranlasste physische Polizeiwarnungen

CISA hat CVE-2026-4681 in den KEV-Katalog aufgenommen. Die Schwere wurde dadurch unterstrichen, dass deutsche Polizei Organisationen persönlich aufsuchte.

In einer außergewöhnlich seltenen Maßnahme hat die deutsche Polizei Organisationen persönlich aufgesucht, um vor einer kritischen Schwachstelle in PTCs Windchill Product Lifecycle Management (PLM) Software zu warnen — einem System, das in der Fertigungs-, Automobil-, Luft- und Raumfahrt- sowie Verteidigungsindustrie weit verbreitet ist.

KENSAI-Perspektive

Wenn die Polizei an Ihrer Tür klingelt, um vor einer Schwachstelle zu warnen, spricht die Schwere für sich. KENSAIs Infrastruktur-Scanning identifiziert exponierte Management-Interfaces und ungepatchte Enterprise-Software — einschließlich industrieller PLM-Systeme.


5. Hightower-Holding-Datenleck betrifft 130.000 Personen

Die Finanzholding Hightower Holding hat ein Datenleck offengelegt, das etwa 130.000 Personen betrifft. Die kompromittierten Daten umfassen Namen, Sozialversicherungsnummern und Führerscheinnummern — eine besonders toxische Kombination für Identitätsdiebstahl.

KENSAI-Perspektive

Finanzdienstleistungsorganisationen halten einige der sensibelsten personenbezogenen Daten jeder Branche. KENSAIs automatisiertes Penetration Testing identifiziert die Netzwerk-Exposition und fehlkonfigurierten Zugriffskontrollen, die Datenlecks dieser Größenordnung ermöglichen.


Tägliche Forschungs- & Produktzusammenfassung

EntwicklungAuswirkungTypErforderliche Maßnahme
Smart Slider 3 WordPress CVE-2026-3098KRITISCHSchwachstelleSofort auf v3.5.1.34 aktualisieren
LangChain/LangGraph dreifache SchwachstelleKRITISCHSchwachstellelangchain-core & langgraph aktualisieren
TeamPCP Telnyx PyPI BackdoorKRITISCHSupply ChainAuf Telnyx 4.87.0 downgraden
CISA PTC Windchill CVE-2026-4681HOCHSchwachstelleWindchill patchen & PLM-Zugriff prüfen
Hightower Holding Datenleck — 130KMITTELDatenleckIdentitätsdiebstahl-Exposition überwachen