剣 KENSAI
← All posts · research · 2026-03-30 · 6 min

La faille Smart Slider WordPress expose 800K sites, triple vulnérabilité LangChain IA divulgue des secrets, l'attaque steganographique WAV TeamPCP Telnyx s'intensifie, l'alerte CISA PTC Windchill mobilise la police allemande, violation Hightower touche 130K

Une vulnérabilité critique de lecture de fichiers dans le plugin WordPress Smart Slider 3 expose 800 000 sites au vol d'identifiants. Trois failles LangChain et LangGraph menacent les déploiements IA d'entreprise par exfiltration de fichiers et injection SQL. TeamPCP intensifie sa campagne supply chain en backdoorant le paquet PyPI Telnyx avec de la stéganographie WAV. CISA signale une vulnérabilité critique PTC Windchill ayant mobilisé la police allemande. La violation de données Hightower Holding expose les numéros de sécurité sociale de 130 000 personnes.


1. La faille du plugin WordPress Smart Slider 3 expose 800 000 sites au vol d'identifiants

⚠️ CRITIQUE — CVE-2026-3098 : Lecture arbitraire de fichiers dans Smart Slider 3 (800K+ installations actives)

Une vulnérabilité de sévérité moyenne dans Smart Slider 3 (versions jusqu'à 3.5.1.33) permet à tout utilisateur authentifié — y compris les abonnés — de lire des fichiers serveur arbitraires comme wp-config.php. Mettez à jour vers la version 3.5.1.34 immédiatement.

Une vulnérabilité dans l'un des plugins de slider WordPress les plus populaires a mis des centaines de milliers de sites web en danger de prise de contrôle complète. La faille, identifiée comme CVE-2026-3098, affecte Smart Slider 3 — un plugin de carrousel glisser-déposer actif sur plus de 800 000 installations WordPress.

Découverte par le chercheur Dmitrii Ignatyev et validée par Wordfence, la vulnérabilité provient de vérifications de capacités manquantes dans les actions d'export AJAX du plugin. La fonction actionExportAll ne valide ni le type ni la source des fichiers.

Pourquoi c'est pire qu'il n'y paraît

Perspective KENSAI

Les vulnérabilités des plugins WordPress restent l'un des vecteurs d'attaque les plus fiables sur Internet. Le scan d'applications web de KENSAI identifie les plugins obsolètes et les CVE connus dans toute votre infrastructure web.


2. Triple vulnérabilité LangChain & LangGraph menace les déploiements IA d'entreprise

⚠️ ÉLEVÉ — Trois failles critiques dans LangChain/LangGraph : Traversée de chemin, Désérialisation, Injection SQL

CVE-2026-34070 (CVSS 7,5), CVE-2025-68664 (CVSS 9,3) et CVE-2025-67644 (CVSS 7,3) exposent les données du système de fichiers, les clés API et les historiques de conversation.

Trois vulnérabilités de sécurité dans LangChain et LangGraph pourraient exposer les données d'entreprise via trois chemins d'attaque indépendants. Avec des téléchargements hebdomadaires combinés dépassant 84 millions, le rayon d'explosion est énorme.

La triple menace

Perspective KENSAI

Les frameworks IA deviennent une infrastructure critique, portant les mêmes classes de vulnérabilités classiques que les applications web depuis des décennies. Le scan de dépendances de KENSAI aide à identifier les versions vulnérables.


3. TeamPCP backdoore le paquet Telnyx PyPI avec stéganographie WAV

⚠️ CRITIQUE — Attaque supply chain : Telnyx PyPI versions 4.87.1 & 4.87.2 backdoorées

TeamPCP a compromis le SDK Python officiel Telnyx sur PyPI, cachant un malware voleur d'identifiants dans des fichiers audio WAV. Rétrogradez immédiatement vers 4.87.0.

L'acteur prolifique de la chaîne d'approvisionnement TeamPCP a encore frappé — compromettant cette fois le SDK Python officiel Telnyx sur PyPI, un paquet avec plus de 740 000 téléchargements mensuels.

La technique de stéganographie WAV

Perspective KENSAI

La nature en cascade des attaques supply chain est le défi sécuritaire déterminant de 2026. Le monitoring continu de KENSAI identifie l'exposition supply chain dans votre arbre de dépendances.


4. CISA signale la vulnérabilité critique PTC Windchill — Police allemande mobilisée

⚠️ ÉLEVÉ — CVE-2026-4681 : La faille critique PTC Windchill a mobilisé la police allemande

CISA a ajouté CVE-2026-4681 à son catalogue KEV. La police allemande a physiquement visité des organisations pour les avertir.

Dans une mesure extraordinairement rare, la police allemande a physiquement rendu visite à des organisations pour les avertir d'une vulnérabilité critique dans le logiciel PLM Windchill de PTC — un système largement utilisé dans l'industrie manufacturière, automobile, aérospatiale et de défense.

Perspective KENSAI

Le scan d'infrastructure de KENSAI identifie les interfaces de gestion exposées et les logiciels d'entreprise non patchés — y compris les systèmes PLM industriels.


5. Violation de données Hightower Holding expose 130 000 personnes

La société financière Hightower Holding a divulgué une violation de données affectant environ 130 000 personnes. Les données compromises incluent noms, numéros de sécurité sociale et numéros de permis de conduire.

Perspective KENSAI

Les tests de pénétration automatisés de KENSAI identifient l'exposition réseau et les contrôles d'accès mal configurés qui permettent des violations de cette ampleur.


Résumé quotidien Recherche & Produits

DéveloppementImpactTypeAction requise
Smart Slider 3 WordPress CVE-2026-3098CRITIQUEVulnérabilitéMettre à jour vers v3.5.1.34
Triple vulnérabilité LangChain/LangGraphCRITIQUEVulnérabilitéMettre à jour langchain-core & langgraph
TeamPCP Telnyx PyPI BackdoorCRITIQUESupply ChainRétrograder vers Telnyx 4.87.0
CISA PTC Windchill CVE-2026-4681ÉLEVÉVulnérabilitéPatcher Windchill & auditer l'accès PLM
Violation Hightower Holding — 130KMOYENViolation de donnéesSurveiller l'exposition au vol d'identité