剣 KENSAI
← All posts · research · 2026-03-30 · 6 min

Fallo Smart Slider WordPress expone 800K sitios, triple vulnerabilidad LangChain IA filtra secretos, ataque esteganográfico WAV TeamPCP Telnyx escala, alerta CISA PTC Windchill moviliza policía alemana, brecha Hightower afecta 130K

Una vulnerabilidad crítica de lectura de archivos en el plugin Smart Slider 3 de WordPress expone 800.000 sitios al robo de credenciales. Tres fallas de LangChain y LangGraph amenazan despliegues IA empresariales con exfiltración de archivos e inyección SQL. TeamPCP escala su campaña de cadena de suministro backdooreando el paquete Telnyx PyPI con esteganografía WAV. CISA señala una vulnerabilidad crítica PTC Windchill que movilizó a la policía alemana. La brecha de datos de Hightower Holding expone números de seguridad social de 130.000 personas.


1. Fallo del plugin WordPress Smart Slider 3 expone 800.000 sitios al robo de credenciales

⚠️ CRÍTICO — CVE-2026-3098: Lectura arbitraria de archivos en Smart Slider 3 (800K+ instalaciones activas)

Una vulnerabilidad de severidad media en Smart Slider 3 (versiones hasta 3.5.1.33) permite a cualquier usuario autenticado — incluidos suscriptores — leer archivos arbitrarios del servidor como wp-config.php. Actualice a la versión 3.5.1.34 inmediatamente.

Una vulnerabilidad en uno de los plugins de slider más populares de WordPress ha puesto a cientos de miles de sitios web en riesgo de toma de control total. El fallo, rastreado como CVE-2026-3098, afecta a Smart Slider 3 — activo en más de 800.000 instalaciones WordPress.

Por qué es peor de lo que parece

Perspectiva KENSAI

Las vulnerabilidades de plugins de WordPress siguen siendo uno de los vectores de ataque más fiables en internet. El escaneo de aplicaciones web de KENSAI identifica plugins obsoletos y CVEs conocidos.


2. Triple vulnerabilidad de LangChain & LangGraph amenaza despliegues IA empresariales

⚠️ ALTO — Tres fallos críticos en LangChain/LangGraph: Traversal de ruta, Deserialización, Inyección SQL

CVE-2026-34070 (CVSS 7,5), CVE-2025-68664 (CVSS 9,3) y CVE-2025-67644 (CVSS 7,3) exponen datos del sistema de archivos, claves API e historiales de conversación.

Tres vulnerabilidades en LangChain y LangGraph podrían exponer datos empresariales a través de tres rutas de ataque independientes. Con descargas semanales combinadas que superan los 84 millones, el radio de impacto es enorme.

La triple amenaza

Perspectiva KENSAI

Los frameworks de IA se están convirtiendo en infraestructura crítica. El escaneo de dependencias de KENSAI ayuda a identificar versiones vulnerables antes que los atacantes.


3. TeamPCP backdoorea el paquete Telnyx PyPI con esteganografía WAV

⚠️ CRÍTICO — Ataque a la cadena de suministro: Versiones Telnyx PyPI 4.87.1 & 4.87.2 backdooreadas

TeamPCP comprometió el SDK oficial de Python Telnyx en PyPI, ocultando malware robador de credenciales dentro de archivos de audio WAV. Retroceda a 4.87.0 inmediatamente.

El prolífico actor de amenazas de cadena de suministro TeamPCP ha atacado de nuevo — comprometiendo el SDK oficial de Python Telnyx en PyPI, con más de 740.000 descargas mensuales.

La técnica de esteganografía WAV

Perspectiva KENSAI

El monitoreo continuo de KENSAI identifica la exposición de cadena de suministro en todo su árbol de dependencias.


4. CISA señala vulnerabilidad crítica PTC Windchill — Policía alemana movilizada

⚠️ ALTO — CVE-2026-4681: La falla crítica PTC Windchill movilizó a la policía alemana

CISA ha añadido CVE-2026-4681 a su catálogo KEV. La policía alemana visitó físicamente a organizaciones para advertirles.

En una medida extraordinariamente rara, la policía alemana visitó físicamente a organizaciones para advertirles sobre una vulnerabilidad crítica en el software PLM Windchill de PTC.

Perspectiva KENSAI

El escaneo de infraestructura de KENSAI identifica interfaces de gestión expuestas y software empresarial sin parchear — incluyendo sistemas PLM industriales.


5. Brecha de datos de Hightower Holding afecta a 130.000 personas

La compañía financiera Hightower Holding ha revelado una brecha de datos que afecta a aproximadamente 130.000 personas. Los datos comprometidos incluyen nombres, números de seguridad social y números de licencia de conducir.

Perspectiva KENSAI

Las pruebas de penetración automatizadas de KENSAI identifican la exposición de red y los controles de acceso mal configurados que permiten brechas de esta magnitud.


Resumen diario de Investigación & Productos

DesarrolloImpactoTipoAcción requerida
Smart Slider 3 WordPress CVE-2026-3098CRÍTICOVulnerabilidadActualizar a v3.5.1.34
Triple vulnerabilidad LangChain/LangGraphCRÍTICOVulnerabilidadActualizar langchain-core & langgraph
TeamPCP Telnyx PyPI BackdoorCRÍTICOCadena de suministroRetroceder a Telnyx 4.87.0
CISA PTC Windchill CVE-2026-4681ALTOVulnerabilidadParchear Windchill
Brecha Hightower Holding — 130KMEDIOBrecha de datosMonitorear exposición de identidad