剣 KENSAI
← All posts · research · 2026-03-30 · 3 min

Smart Slider WordPress脆弱性が80万サイトを危険に、LangChain AIフレームワーク三重脆弱性が機密情報を漏洩、TeamPCP Telnyx WAVステガノグラフィ攻撃がエスカレート、CISA PTC Windchill警告でドイツ警察が出動、Hightowerデータ漏洩が13万人に影響

Smart Slider 3 WordPressプラグインの重大なファイル読み取り脆弱性が80万のウェブサイトを認証情報窃取の危険にさらしています。LangChainとLangGraphの新たに開示された3つの脆弱性が、ファイルの流出とSQLインジェクションによってAI企業デプロイメントを脅かしています。TeamPCPはWAVステガノグラフィでTelnyx PyPIパッケージをバックドアし、サプライチェーン攻撃をエスカレートさせています。CISAはドイツ警察が組織に直接警告を行うきっかけとなった重大なPTC Windchill脆弱性をフラグ付けしました。Hightower Holdingのデータ漏洩が13万人の社会保障番号と運転免許証情報を流出させました。


1. Smart Slider 3 WordPressプラグインの脆弱性が80万サイトを認証情報窃取の危険に

⚠️ 重大 — CVE-2026-3098:Smart Slider 3の任意ファイル読み取り(80万以上のアクティブインストール)

Smart Slider 3(バージョン3.5.1.33まで)の脆弱性により、サブスクライバーを含むあらゆる認証済みユーザーがwp-config.phpなどの任意のサーバーファイルを読み取ることができます。直ちにバージョン3.5.1.34にアップデートしてください。

WordPressの最も人気のあるスライダープラグインの一つにおける脆弱性が、数十万のウェブサイトを完全な乗っ取りの危険にさらしています。CVE-2026-3098として追跡されるこの脆弱性は、80万以上のWordPressインストールでアクティブなSmart Slider 3に影響します。

KENSAIの視点

WordPressプラグインの脆弱性はインターネット上で最も信頼性の高い攻撃ベクターの一つです。KENSAIのWebアプリケーションスキャンは、古いプラグインと既知のCVEを特定します。


2. LangChain & LangGraph三重脆弱性がAIエンタープライズデプロイメントを脅威

⚠️ 高 — LangChain/LangGraphの3つの重大な欠陥:パストラバーサル、デシリアライゼーション、SQLインジェクション

CVE-2026-34070(CVSS 7.5)、CVE-2025-68664(CVSS 9.3)、CVE-2025-67644(CVSS 7.3)がファイルシステムデータ、APIキー、会話履歴を露出させます。

LangChainLangGraphの3つのセキュリティ脆弱性が、3つの独立した攻撃経路を通じてエンタープライズデータを露出させる可能性があります。PyPIでの週間合計ダウンロード数は8400万を超え、影響範囲は膨大です。

KENSAIの視点

AIフレームワークは重要インフラになりつつあります。KENSAIの依存関係スキャンは、攻撃者より先に脆弱なバージョンを特定します。


3. TeamPCPがWAVステガノグラフィでTelnyx PyPIパッケージをバックドア

⚠️ 重大 — サプライチェーン攻撃:Telnyx PyPIバージョン4.87.1 & 4.87.2がバックドア

TeamPCPがPyPI上の公式Telnyx Python SDKを侵害し、WAVオーディオファイル内に認証情報窃取マルウェアを隠しました。直ちに4.87.0にダウングレードしてください。

多作なサプライチェーン脅威アクターTeamPCPが再び攻撃 — 月間74万ダウンロード以上の公式Telnyx Python SDKをPyPI上で侵害しました。

KENSAIの視点

KENSAIの継続的モニタリングが、依存関係ツリー全体のサプライチェーンエクスポージャーを特定します。


4. CISAが重大なPTC Windchill脆弱性をフラグ付け — ドイツ警察が出動

⚠️ 高 — CVE-2026-4681:重大なPTC Windchill脆弱性がドイツ警察の物理的な警告を促す

CISAがCVE-2026-4681をKEVカタログに追加。ドイツ警察が組織を物理的に訪問して警告しました。

極めて稀な措置として、ドイツ警察が組織を物理的に訪問し、PTCのWindchill PLMソフトウェアの重大な脆弱性について警告しました。

KENSAIの視点

KENSAIのインフラスキャンは、露出した管理インターフェースとパッチ未適用のエンタープライズソフトウェアを特定します。


5. Hightower Holdingデータ漏洩が13万人に影響

金融持株会社Hightower Holdingが約13万人に影響するデータ漏洩を公表しました。

KENSAIの視点

KENSAIの自動ペネトレーションテストは、ネットワークエクスポージャーと誤設定されたアクセス制御を特定します。


日次リサーチ & プロダクトサマリー

動向影響タイプ必要なアクション
Smart Slider 3 WordPress CVE-2026-3098重大脆弱性v3.5.1.34にアップデート
LangChain/LangGraph三重脆弱性重大脆弱性langchain-core & langgraphをアップデート
TeamPCP Telnyx PyPIバックドア重大サプライチェーンTelnyx 4.87.0にダウングレード
CISA PTC Windchill CVE-2026-4681脆弱性Windchillをパッチ
Hightower Holding漏洩 — 13万データ漏洩身元詐称の監視