Falha Smart Slider WordPress expõe 800K sites, tripla vulnerabilidade LangChain IA vaza segredos, ataque esteganográfico WAV TeamPCP Telnyx escala, alerta CISA PTC Windchill mobiliza polícia alemã, violação Hightower atinge 130K
Uma vulnerabilidade crítica de leitura de arquivos no plugin Smart Slider 3 do WordPress expõe 800.000 sites ao roubo de credenciais. Três falhas do LangChain e LangGraph ameaçam implantações empresariais de IA com exfiltração de arquivos e injeção SQL. TeamPCP escala sua campanha de cadeia de suprimentos backdooreando o pacote Telnyx PyPI com esteganografia WAV. CISA sinaliza vulnerabilidade crítica PTC Windchill que mobilizou a polícia alemã. Violação de dados da Hightower Holding expõe números de seguro social de 130.000 pessoas.
1. Falha no plugin WordPress Smart Slider 3 expõe 800.000 sites ao roubo de credenciais
⚠️ CRÍTICO — CVE-2026-3098: Leitura arbitrária de arquivos no Smart Slider 3 (800K+ instalações ativas)
Uma vulnerabilidade no Smart Slider 3 (versões até 3.5.1.33) permite que qualquer usuário autenticado — incluindo assinantes — leia arquivos arbitrários do servidor como wp-config.php. Atualize para a versão 3.5.1.34 imediatamente.
Uma vulnerabilidade em um dos plugins de slider mais populares do WordPress colocou centenas de milhares de sites em risco de tomada total. A falha, rastreada como CVE-2026-3098, afeta o Smart Slider 3 — ativo em mais de 800.000 instalações WordPress.
Por que é pior do que parece
- Exposição do wp-config.php: Atacantes podem ler credenciais de banco de dados, chaves de autenticação e salts
- Bypass de nonce: Usuários autenticados podem obter nonces válidos
- Barreira baixa: Uma conta de assinante é suficiente
- Escala: Pelo menos 500.000 sites permanecem vulneráveis
Perspectiva KENSAI
Vulnerabilidades de plugins WordPress continuam sendo um dos vetores de ataque mais confiáveis na internet. O scan de aplicações web da KENSAI identifica plugins desatualizados e CVEs conhecidos.
2. Tripla vulnerabilidade LangChain & LangGraph ameaça implantações IA empresariais
⚠️ ALTO — Três falhas críticas no LangChain/LangGraph: Travessia de caminho, Desserialização, Injeção SQL
CVE-2026-34070 (CVSS 7,5), CVE-2025-68664 (CVSS 9,3) e CVE-2025-67644 (CVSS 7,3) expõem dados do sistema de arquivos, chaves API e históricos de conversação.
Três vulnerabilidades no LangChain e LangGraph podem expor dados empresariais através de três caminhos de ataque independentes. Com downloads semanais combinados superiores a 84 milhões, o raio de impacto é enorme.
Perspectiva KENSAI
Frameworks de IA estão se tornando infraestrutura crítica. O scan de dependências da KENSAI ajuda a identificar versões vulneráveis antes que atacantes o façam.
3. TeamPCP backdoorea pacote Telnyx PyPI com esteganografia WAV
⚠️ CRÍTICO — Ataque à cadeia de suprimentos: Versões Telnyx PyPI 4.87.1 & 4.87.2 backdooreadas
TeamPCP comprometeu o SDK oficial Python Telnyx no PyPI, escondendo malware ladrão de credenciais em arquivos de áudio WAV. Faça downgrade para 4.87.0 imediatamente.
O prolífico ator de ameaças de cadeia de suprimentos TeamPCP atacou novamente — comprometendo o SDK oficial Python Telnyx no PyPI, um pacote com mais de 740.000 downloads mensais.
A técnica de esteganografia WAV
- Estágio 1: Código malicioso em
telnyx/_client.pyé acionado automaticamente na importação - Estágio 2: Malware baixa arquivo WAV — payload oculto nos frames de áudio com criptografia XOR
- Estágio 3: Execução em memória, coleta de chaves SSH, tokens cloud, carteiras cripto e credenciais
- Movimento lateral Kubernetes: Enumeração de segredos de cluster e implantação de pods privilegiados
Perspectiva KENSAI
O monitoramento contínuo da KENSAI identifica exposição na cadeia de suprimentos em toda a sua árvore de dependências.
4. CISA sinaliza vulnerabilidade crítica PTC Windchill — Polícia alemã mobilizada
⚠️ ALTO — CVE-2026-4681: Vulnerabilidade crítica PTC Windchill motivou alertas policiais presenciais
CISA adicionou CVE-2026-4681 ao catálogo KEV. A polícia alemã visitou fisicamente organizações para alertá-las.
Em uma medida extraordinariamente rara, a polícia alemã visitou fisicamente organizações para alertá-las sobre uma vulnerabilidade crítica no software PLM Windchill da PTC.
Perspectiva KENSAI
O scan de infraestrutura da KENSAI identifica interfaces de gerenciamento expostas e software empresarial não corrigido — incluindo sistemas PLM industriais.
5. Violação de dados da Hightower Holding afeta 130.000 pessoas
A holding financeira Hightower Holding divulgou uma violação de dados afetando aproximadamente 130.000 pessoas. Os dados comprometidos incluem nomes, números de seguro social e números de carteira de motorista.
Perspectiva KENSAI
Os testes de penetração automatizados da KENSAI identificam exposição de rede e controles de acesso mal configurados que permitem violações desta magnitude.
Resumo diário de Pesquisa & Produtos
| Desenvolvimento | Impacto | Tipo | Ação necessária |
|---|---|---|---|
| Smart Slider 3 WordPress CVE-2026-3098 | CRÍTICO | Vulnerabilidade | Atualizar para v3.5.1.34 |
| Tripla vulnerabilidade LangChain/LangGraph | CRÍTICO | Vulnerabilidade | Atualizar langchain-core & langgraph |
| TeamPCP Telnyx PyPI Backdoor | CRÍTICO | Cadeia de suprimentos | Downgrade para Telnyx 4.87.0 |
| CISA PTC Windchill CVE-2026-4681 | ALTO | Vulnerabilidade | Corrigir Windchill |
| Violação Hightower Holding — 130K | MÉDIO | Violação de dados | Monitorar roubo de identidade |