Smart Slider WordPress-kwetsbaarheid treft 800K sites, LangChain AI-framework drievoudige kwetsbaarheid lekt geheimen, TeamPCP Telnyx WAV-steganografie-aanval escaleert, CISA PTC Windchill-waarschuwing mobiliseert Duitse politie, Hightower-datalek treft 130K
Een kritieke bestandslees-kwetsbaarheid in de Smart Slider 3 WordPress-plugin treft 800.000 websites met credential-diefstal. Drie nieuw onthulde LangChain- en LangGraph-fouten bedreigen AI-bedrijfsimplementaties met bestandsexfiltratie en SQL-injectie. TeamPCP escaleert zijn supply-chain-campagne door het Telnyx PyPI-pakket te backdooren met WAV-steganografie. CISA markeert een kritieke PTC Windchill-kwetsbaarheid die de Duitse politie tot fysieke waarschuwingen aanzette. Hightower Holding-datalek legt BSN's en rijbewijsgegevens van 130.000 personen bloot.
1. Smart Slider 3 WordPress-plugin-kwetsbaarheid stelt 800.000 websites bloot aan credential-diefstal
⚠️ KRITIEK — CVE-2026-3098: Willekeurig bestanden lezen in Smart Slider 3 (800K+ actieve installaties)
Een kwetsbaarheid in Smart Slider 3 (versies t/m 3.5.1.33) stelt elke geauthenticeerde gebruiker — inclusief abonnees — in staat willekeurige serverbestanden te lezen zoals wp-config.php. Update onmiddellijk naar versie 3.5.1.34.
Een kwetsbaarheid in een van WordPress' populairste slider-plugins heeft honderdduizenden websites blootgesteld aan het risico van volledige overname. De kwetsbaarheid, gevolgd als CVE-2026-3098, treft Smart Slider 3 — actief op meer dan 800.000 WordPress-installaties.
Waarom dit erger is dan het klinkt
- wp-config.php-blootstelling: Aanvallers kunnen databasegegevens, authenticatiesleutels en salts uitlezen
- Nonce-omzeiling: Geauthenticeerde gebruikers kunnen geldige nonces verkrijgen
- Lage drempel: Een abonnee-account volstaat — geen beheerdersrechten vereist
- Schaal: Minstens 500.000 sites blijven kwetsbaar
KENSAI-perspectief
WordPress-plugin-kwetsbaarheden blijven een van de betrouwbaarste aanvalsvectoren op internet. KENSAI's webapplicatiescanning identificeert verouderde plugins en bekende CVE's.
2. LangChain & LangGraph drievoudige kwetsbaarheid bedreigt AI-bedrijfsimplementaties
⚠️ HOOG — Drie kritieke fouten in LangChain/LangGraph: Pad-traversal, Deserialisatie, SQL-injectie
CVE-2026-34070 (CVSS 7,5), CVE-2025-68664 (CVSS 9,3) en CVE-2025-67644 (CVSS 7,3) stellen bestandssysteemgegevens, API-sleutels en gespreksgeschiedenissen bloot.
Drie kwetsbaarheden in LangChain en LangGraph kunnen bedrijfsgegevens blootstellen via drie onafhankelijke aanvalspaden. Met gecombineerde wekelijkse downloads van meer dan 84 miljoen is het impactgebied enorm.
KENSAI-perspectief
AI-frameworks worden kritieke infrastructuur. KENSAI's dependency-scanning helpt kwetsbare versies te identificeren voordat aanvallers dat doen.
3. TeamPCP backdoort Telnyx PyPI-pakket met WAV-steganografie
⚠️ KRITIEK — Supply-chain-aanval: Telnyx PyPI-versies 4.87.1 & 4.87.2 gebackdoord
TeamPCP heeft de officiële Telnyx Python SDK op PyPI gecompromitteerd, met credential-stelende malware verborgen in WAV-audiobestanden. Downgrade onmiddellijk naar 4.87.0.
De productieve supply-chain-dreigingsactor TeamPCP heeft opnieuw toegeslagen — dit keer het officiële Telnyx Python SDK op PyPI gecompromitteerd, een pakket met meer dan 740.000 maandelijkse downloads.
De WAV-steganografie-techniek
- Fase 1: Kwaadaardige code in
telnyx/_client.pywordt automatisch geactiveerd bij import - Fase 2: Malware downloadt een WAV-bestand — de payload is verborgen in audioframes met XOR-versleuteling
- Fase 3: Uitvoering in geheugen, verzameling van SSH-sleutels, cloud-tokens, crypto-wallets en credentials
- Kubernetes laterale beweging: Enumeratie van cluster-secrets en implementatie van geprivilegieerde pods
KENSAI-perspectief
KENSAI's continue monitoring identificeert supply-chain-blootstelling in uw volledige afhankelijkheidsboom.
4. CISA markeert kritieke PTC Windchill-kwetsbaarheid — Duitse politie gemobiliseerd
⚠️ HOOG — CVE-2026-4681: Kritieke PTC Windchill-kwetsbaarheid leidde tot fysieke politiewaarschuwingen
CISA heeft CVE-2026-4681 toegevoegd aan de KEV-catalogus. De Duitse politie bezocht fysiek organisaties om te waarschuwen.
In een buitengewoon zeldzame maatregel heeft de Duitse politie fysiek organisaties bezocht om te waarschuwen over een kritieke kwetsbaarheid in PTC's Windchill PLM-software.
KENSAI-perspectief
KENSAI's infrastructuurscanning identificeert blootgestelde beheerinterfaces en niet-gepatchte bedrijfssoftware — inclusief industriële PLM-systemen.
5. Hightower Holding-datalek treft 130.000 personen
Financiële holding Hightower Holding heeft een datalek gemeld dat ongeveer 130.000 personen treft. De gecompromitteerde gegevens omvatten namen, burgerservicenummers en rijbewijsnummers.
KENSAI-perspectief
KENSAI's geautomatiseerde penetratietesten identificeren netwerkblootstelling en verkeerd geconfigureerde toegangscontroles.
Dagelijks Onderzoeks- & Productoverzicht
| Ontwikkeling | Impact | Type | Vereiste actie |
|---|---|---|---|
| Smart Slider 3 WordPress CVE-2026-3098 | KRITIEK | Kwetsbaarheid | Update naar v3.5.1.34 |
| LangChain/LangGraph drievoudige kwetsbaarheid | KRITIEK | Kwetsbaarheid | Update langchain-core & langgraph |
| TeamPCP Telnyx PyPI Backdoor | KRITIEK | Supply Chain | Downgrade naar Telnyx 4.87.0 |
| CISA PTC Windchill CVE-2026-4681 | HOOG | Kwetsbaarheid | Patch Windchill |
| Hightower Holding datalek — 130K | GEMIDDELD | Datalek | Monitor identiteitsdiefstal |