Falla Smart Slider WordPress espone 800K siti, tripla vulnerabilità LangChain IA divulga segreti, attacco steganografico WAV TeamPCP Telnyx escala, allerta CISA PTC Windchill mobilita polizia tedesca, violazione Hightower colpisce 130K
Una vulnerabilità critica di lettura file nel plugin Smart Slider 3 di WordPress espone 800.000 siti al furto di credenziali. Tre falle di LangChain e LangGraph minacciano le implementazioni IA aziendali con esfiltrazione di file e SQL injection. TeamPCP intensifica la sua campagna supply chain backdoorando il pacchetto Telnyx PyPI con steganografia WAV. CISA segnala una vulnerabilità critica PTC Windchill che ha mobilitato la polizia tedesca. La violazione dei dati di Hightower Holding espone i numeri di previdenza sociale di 130.000 persone.
1. Falla del plugin WordPress Smart Slider 3 espone 800.000 siti al furto di credenziali
⚠️ CRITICO — CVE-2026-3098: Lettura arbitraria di file in Smart Slider 3 (800K+ installazioni attive)
Una vulnerabilità in Smart Slider 3 (versioni fino alla 3.5.1.33) consente a qualsiasi utente autenticato — compresi gli abbonati — di leggere file server arbitrari come wp-config.php. Aggiornate alla versione 3.5.1.34 immediatamente.
Una vulnerabilità in uno dei plugin slider WordPress più popolari ha messo centinaia di migliaia di siti web a rischio di acquisizione completa. La falla, tracciata come CVE-2026-3098, colpisce Smart Slider 3 — attivo su oltre 800.000 installazioni WordPress.
Perché è peggio di quanto sembri
- Esposizione wp-config.php: Gli aggressori possono leggere credenziali del database, chiavi di autenticazione e salt
- Aggiramento nonce: Gli utenti autenticati possono ottenere nonce validi
- Bassa barriera: Un account abbonato è sufficiente
- Scala: Almeno 500.000 siti rimangono vulnerabili
Prospettiva KENSAI
Le vulnerabilità dei plugin WordPress rimangono uno dei vettori di attacco più affidabili su Internet. La scansione delle applicazioni web di KENSAI identifica plugin obsoleti e CVE noti.
2. Tripla vulnerabilità LangChain & LangGraph minaccia le implementazioni IA aziendali
⚠️ ALTO — Tre falle critiche in LangChain/LangGraph: Traversamento percorso, Deserializzazione, SQL Injection
CVE-2026-34070 (CVSS 7,5), CVE-2025-68664 (CVSS 9,3) e CVE-2025-67644 (CVSS 7,3) espongono dati del filesystem, chiavi API e cronologie delle conversazioni.
Tre vulnerabilità in LangChain e LangGraph potrebbero esporre dati aziendali attraverso tre percorsi di attacco indipendenti. Con download settimanali combinati superiori a 84 milioni, il raggio d'impatto è enorme.
Prospettiva KENSAI
I framework IA stanno diventando infrastruttura critica. La scansione delle dipendenze di KENSAI aiuta a identificare versioni vulnerabili prima degli aggressori.
3. TeamPCP backdoora il pacchetto Telnyx PyPI con steganografia WAV
⚠️ CRITICO — Attacco supply chain: Versioni Telnyx PyPI 4.87.1 & 4.87.2 backdoorate
TeamPCP ha compromesso l'SDK ufficiale Python Telnyx su PyPI, nascondendo malware rubacredenziali in file audio WAV. Downgrade a 4.87.0 immediatamente.
L'attore prolifico di minacce supply chain TeamPCP ha colpito ancora — compromettendo l'SDK ufficiale Python Telnyx su PyPI, un pacchetto con oltre 740.000 download mensili.
La tecnica di steganografia WAV
- Fase 1: Codice malevolo in
telnyx/_client.pysi attiva automaticamente all'importazione - Fase 2: Il malware scarica un file WAV — il payload è nascosto nei frame audio con crittografia XOR
- Fase 3: Esecuzione in memoria, raccolta di chiavi SSH, token cloud, wallet crypto e credenziali
- Movimento laterale Kubernetes: Enumerazione dei segreti del cluster e distribuzione di pod privilegiati
Prospettiva KENSAI
Il monitoraggio continuo di KENSAI identifica l'esposizione supply chain nell'intero albero delle dipendenze.
4. CISA segnala vulnerabilità critica PTC Windchill — Polizia tedesca mobilitata
⚠️ ALTO — CVE-2026-4681: Vulnerabilità critica PTC Windchill ha mobilitato la polizia tedesca
CISA ha aggiunto CVE-2026-4681 al catalogo KEV. La polizia tedesca ha fisicamente visitato le organizzazioni per avvertirle.
In una misura straordinariamente rara, la polizia tedesca ha visitato fisicamente le organizzazioni per avvertirle di una vulnerabilità critica nel software PLM Windchill di PTC.
Prospettiva KENSAI
La scansione infrastrutturale di KENSAI identifica interfacce di gestione esposte e software aziendale non patchato — compresi i sistemi PLM industriali.
5. Violazione dati Hightower Holding colpisce 130.000 persone
La holding finanziaria Hightower Holding ha divulgato una violazione dei dati che colpisce circa 130.000 persone. I dati compromessi includono nomi, numeri di previdenza sociale e numeri di patente.
Prospettiva KENSAI
I test di penetrazione automatizzati di KENSAI identificano l'esposizione di rete e i controlli di accesso mal configurati.
Riepilogo quotidiano Ricerca & Prodotti
| Sviluppo | Impatto | Tipo | Azione richiesta |
|---|---|---|---|
| Smart Slider 3 WordPress CVE-2026-3098 | CRITICO | Vulnerabilità | Aggiornare a v3.5.1.34 |
| Tripla vulnerabilità LangChain/LangGraph | CRITICO | Vulnerabilità | Aggiornare langchain-core & langgraph |
| TeamPCP Telnyx PyPI Backdoor | CRITICO | Supply Chain | Downgrade a Telnyx 4.87.0 |
| CISA PTC Windchill CVE-2026-4681 | ALTO | Vulnerabilità | Patchare Windchill |
| Violazione Hightower Holding — 130K | MEDIO | Violazione dati | Monitorare furto d'identità |