Fallo Smart Slider WordPress expone 800K sitios, triple vulnerabilidad LangChain IA filtra secretos, ataque esteganográfico WAV TeamPCP Telnyx escala, alerta CISA PTC Windchill moviliza policía alemana, brecha Hightower afecta 130K
Una vulnerabilidad crítica de lectura de archivos en el plugin Smart Slider 3 de WordPress expone 800.000 sitios al robo de credenciales. Tres fallas de LangChain y LangGraph amenazan despliegues IA empresariales con exfiltración de archivos e inyección SQL. TeamPCP escala su campaña de cadena de suministro backdooreando el paquete Telnyx PyPI con esteganografía WAV. CISA señala una vulnerabilidad crítica PTC Windchill que movilizó a la policía alemana. La brecha de datos de Hightower Holding expone números de seguridad social de 130.000 personas.
1. Fallo del plugin WordPress Smart Slider 3 expone 800.000 sitios al robo de credenciales
⚠️ CRÍTICO — CVE-2026-3098: Lectura arbitraria de archivos en Smart Slider 3 (800K+ instalaciones activas)
Una vulnerabilidad de severidad media en Smart Slider 3 (versiones hasta 3.5.1.33) permite a cualquier usuario autenticado — incluidos suscriptores — leer archivos arbitrarios del servidor como wp-config.php. Actualice a la versión 3.5.1.34 inmediatamente.
Una vulnerabilidad en uno de los plugins de slider más populares de WordPress ha puesto a cientos de miles de sitios web en riesgo de toma de control total. El fallo, rastreado como CVE-2026-3098, afecta a Smart Slider 3 — activo en más de 800.000 instalaciones WordPress.
Por qué es peor de lo que parece
- Exposición de wp-config.php: Los atacantes pueden leer credenciales de base de datos, claves de autenticación y sales
- Elusión de nonce: Los usuarios autenticados pueden obtener nonces válidos
- Barrera baja: Una cuenta de suscriptor es suficiente — no se requieren privilegios de administrador
- Escala: Al menos 500.000 sitios siguen siendo vulnerables
Perspectiva KENSAI
Las vulnerabilidades de plugins de WordPress siguen siendo uno de los vectores de ataque más fiables en internet. El escaneo de aplicaciones web de KENSAI identifica plugins obsoletos y CVEs conocidos.
2. Triple vulnerabilidad de LangChain & LangGraph amenaza despliegues IA empresariales
⚠️ ALTO — Tres fallos críticos en LangChain/LangGraph: Traversal de ruta, Deserialización, Inyección SQL
CVE-2026-34070 (CVSS 7,5), CVE-2025-68664 (CVSS 9,3) y CVE-2025-67644 (CVSS 7,3) exponen datos del sistema de archivos, claves API e historiales de conversación.
Tres vulnerabilidades en LangChain y LangGraph podrían exponer datos empresariales a través de tres rutas de ataque independientes. Con descargas semanales combinadas que superan los 84 millones, el radio de impacto es enorme.
La triple amenaza
- CVE-2026-34070: Acceso a archivos arbitrarios a través de la API de carga de prompts sin validación
- CVE-2025-68664: Deserialización de datos no confiables que filtra claves API y secretos de entorno
- CVE-2025-67644: Inyección SQL a través de claves de filtro de metadatos en la implementación SQLite de LangGraph
Perspectiva KENSAI
Los frameworks de IA se están convirtiendo en infraestructura crítica. El escaneo de dependencias de KENSAI ayuda a identificar versiones vulnerables antes que los atacantes.
3. TeamPCP backdoorea el paquete Telnyx PyPI con esteganografía WAV
⚠️ CRÍTICO — Ataque a la cadena de suministro: Versiones Telnyx PyPI 4.87.1 & 4.87.2 backdooreadas
TeamPCP comprometió el SDK oficial de Python Telnyx en PyPI, ocultando malware robador de credenciales dentro de archivos de audio WAV. Retroceda a 4.87.0 inmediatamente.
El prolífico actor de amenazas de cadena de suministro TeamPCP ha atacado de nuevo — comprometiendo el SDK oficial de Python Telnyx en PyPI, con más de 740.000 descargas mensuales.
La técnica de esteganografía WAV
- Etapa 1: Código malicioso en
telnyx/_client.pyse activa automáticamente al importar - Etapa 2: Descarga de archivo WAV — la carga útil está oculta en los frames de audio con cifrado XOR
- Etapa 3: Ejecución en memoria, recopilación de claves SSH, tokens cloud, wallets crypto y credenciales
- Movimiento lateral Kubernetes: Enumeración de secretos de cluster y despliegue de pods privilegiados
Perspectiva KENSAI
El monitoreo continuo de KENSAI identifica la exposición de cadena de suministro en todo su árbol de dependencias.
4. CISA señala vulnerabilidad crítica PTC Windchill — Policía alemana movilizada
⚠️ ALTO — CVE-2026-4681: La falla crítica PTC Windchill movilizó a la policía alemana
CISA ha añadido CVE-2026-4681 a su catálogo KEV. La policía alemana visitó físicamente a organizaciones para advertirles.
En una medida extraordinariamente rara, la policía alemana visitó físicamente a organizaciones para advertirles sobre una vulnerabilidad crítica en el software PLM Windchill de PTC.
- Advertencias policiales físicas: Medida casi sin precedentes reservada para las amenazas más críticas
- Listado CISA KEV: Las agencias federales deben parchear dentro de los plazos prescritos
- Coordinación transfronteriza: La respuesta simultánea EE.UU.-Alemania sugiere intercambio de inteligencia
Perspectiva KENSAI
El escaneo de infraestructura de KENSAI identifica interfaces de gestión expuestas y software empresarial sin parchear — incluyendo sistemas PLM industriales.
5. Brecha de datos de Hightower Holding afecta a 130.000 personas
La compañía financiera Hightower Holding ha revelado una brecha de datos que afecta a aproximadamente 130.000 personas. Los datos comprometidos incluyen nombres, números de seguridad social y números de licencia de conducir.
Perspectiva KENSAI
Las pruebas de penetración automatizadas de KENSAI identifican la exposición de red y los controles de acceso mal configurados que permiten brechas de esta magnitud.
Resumen diario de Investigación & Productos
| Desarrollo | Impacto | Tipo | Acción requerida |
|---|---|---|---|
| Smart Slider 3 WordPress CVE-2026-3098 | CRÍTICO | Vulnerabilidad | Actualizar a v3.5.1.34 |
| Triple vulnerabilidad LangChain/LangGraph | CRÍTICO | Vulnerabilidad | Actualizar langchain-core & langgraph |
| TeamPCP Telnyx PyPI Backdoor | CRÍTICO | Cadena de suministro | Retroceder a Telnyx 4.87.0 |
| CISA PTC Windchill CVE-2026-4681 | ALTO | Vulnerabilidad | Parchear Windchill |
| Brecha Hightower Holding — 130K | MEDIO | Brecha de datos | Monitorear exposición de identidad |