Smart Slider WordPress脆弱性が80万サイトを危険に、LangChain AIフレームワーク三重脆弱性が機密情報を漏洩、TeamPCP Telnyx WAVステガノグラフィ攻撃がエスカレート、CISA PTC Windchill警告でドイツ警察が出動、Hightowerデータ漏洩が13万人に影響
Smart Slider 3 WordPressプラグインの重大なファイル読み取り脆弱性が80万のウェブサイトを認証情報窃取の危険にさらしています。LangChainとLangGraphの新たに開示された3つの脆弱性が、ファイルの流出とSQLインジェクションによってAI企業デプロイメントを脅かしています。TeamPCPはWAVステガノグラフィでTelnyx PyPIパッケージをバックドアし、サプライチェーン攻撃をエスカレートさせています。CISAはドイツ警察が組織に直接警告を行うきっかけとなった重大なPTC Windchill脆弱性をフラグ付けしました。Hightower Holdingのデータ漏洩が13万人の社会保障番号と運転免許証情報を流出させました。
1. Smart Slider 3 WordPressプラグインの脆弱性が80万サイトを認証情報窃取の危険に
⚠️ 重大 — CVE-2026-3098:Smart Slider 3の任意ファイル読み取り(80万以上のアクティブインストール)
Smart Slider 3(バージョン3.5.1.33まで)の脆弱性により、サブスクライバーを含むあらゆる認証済みユーザーがwp-config.phpなどの任意のサーバーファイルを読み取ることができます。直ちにバージョン3.5.1.34にアップデートしてください。
WordPressの最も人気のあるスライダープラグインの一つにおける脆弱性が、数十万のウェブサイトを完全な乗っ取りの危険にさらしています。CVE-2026-3098として追跡されるこの脆弱性は、80万以上のWordPressインストールでアクティブなSmart Slider 3に影響します。
- wp-config.phpの露出:攻撃者はデータベース認証情報、認証キー、ソルトを読み取ることができます
- 低い障壁:サブスクライバーレベルのアカウントで十分 — 管理者権限不要
- 規模:少なくとも50万サイトがまだ脆弱
KENSAIの視点
WordPressプラグインの脆弱性はインターネット上で最も信頼性の高い攻撃ベクターの一つです。KENSAIのWebアプリケーションスキャンは、古いプラグインと既知のCVEを特定します。
2. LangChain & LangGraph三重脆弱性がAIエンタープライズデプロイメントを脅威
⚠️ 高 — LangChain/LangGraphの3つの重大な欠陥:パストラバーサル、デシリアライゼーション、SQLインジェクション
CVE-2026-34070(CVSS 7.5)、CVE-2025-68664(CVSS 9.3)、CVE-2025-67644(CVSS 7.3)がファイルシステムデータ、APIキー、会話履歴を露出させます。
LangChainとLangGraphの3つのセキュリティ脆弱性が、3つの独立した攻撃経路を通じてエンタープライズデータを露出させる可能性があります。PyPIでの週間合計ダウンロード数は8400万を超え、影響範囲は膨大です。
KENSAIの視点
AIフレームワークは重要インフラになりつつあります。KENSAIの依存関係スキャンは、攻撃者より先に脆弱なバージョンを特定します。
3. TeamPCPがWAVステガノグラフィでTelnyx PyPIパッケージをバックドア
⚠️ 重大 — サプライチェーン攻撃:Telnyx PyPIバージョン4.87.1 & 4.87.2がバックドア
TeamPCPがPyPI上の公式Telnyx Python SDKを侵害し、WAVオーディオファイル内に認証情報窃取マルウェアを隠しました。直ちに4.87.0にダウングレードしてください。
多作なサプライチェーン脅威アクターTeamPCPが再び攻撃 — 月間74万ダウンロード以上の公式Telnyx Python SDKをPyPI上で侵害しました。
KENSAIの視点
KENSAIの継続的モニタリングが、依存関係ツリー全体のサプライチェーンエクスポージャーを特定します。
4. CISAが重大なPTC Windchill脆弱性をフラグ付け — ドイツ警察が出動
⚠️ 高 — CVE-2026-4681:重大なPTC Windchill脆弱性がドイツ警察の物理的な警告を促す
CISAがCVE-2026-4681をKEVカタログに追加。ドイツ警察が組織を物理的に訪問して警告しました。
極めて稀な措置として、ドイツ警察が組織を物理的に訪問し、PTCのWindchill PLMソフトウェアの重大な脆弱性について警告しました。
KENSAIの視点
KENSAIのインフラスキャンは、露出した管理インターフェースとパッチ未適用のエンタープライズソフトウェアを特定します。
5. Hightower Holdingデータ漏洩が13万人に影響
金融持株会社Hightower Holdingが約13万人に影響するデータ漏洩を公表しました。
KENSAIの視点
KENSAIの自動ペネトレーションテストは、ネットワークエクスポージャーと誤設定されたアクセス制御を特定します。
日次リサーチ & プロダクトサマリー
| 動向 | 影響 | タイプ | 必要なアクション |
|---|---|---|---|
| Smart Slider 3 WordPress CVE-2026-3098 | 重大 | 脆弱性 | v3.5.1.34にアップデート |
| LangChain/LangGraph三重脆弱性 | 重大 | 脆弱性 | langchain-core & langgraphをアップデート |
| TeamPCP Telnyx PyPIバックドア | 重大 | サプライチェーン | Telnyx 4.87.0にダウングレード |
| CISA PTC Windchill CVE-2026-4681 | 高 | 脆弱性 | Windchillをパッチ |
| Hightower Holding漏洩 — 13万 | 中 | データ漏洩 | 身元詐称の監視 |