剣 KENSAI
← All posts · research · 2026-03-30 · 3 min

Smart Slider WordPress漏洞暴露80万网站,LangChain AI框架三重漏洞泄露机密,TeamPCP Telnyx WAV隐写术攻击升级,CISA PTC Windchill警报出动德国警方,Hightower数据泄露影响13万人

Smart Slider 3 WordPress插件中的关键文件读取漏洞使80万网站面临凭证被盗风险。LangChain和LangGraph的三个新披露漏洞通过文件泄露和SQL注入威胁AI企业部署。TeamPCP通过WAV隐写术后门Telnyx PyPI包升级其供应链攻击。CISA标记一个关键的PTC Windchill漏洞,该漏洞促使德国警方亲自上门警告组织。Hightower Holding数据泄露暴露13万人的社会安全号码和驾照信息。


1. Smart Slider 3 WordPress插件漏洞使80万网站面临凭证被盗风险

⚠️ 严重 — CVE-2026-3098:Smart Slider 3任意文件读取(80万+活跃安装)

Smart Slider 3(版本至3.5.1.33)中的漏洞允许任何已认证用户——包括订阅者——读取任意服务器文件如wp-config.php。请立即更新至版本3.5.1.34。

WordPress最受欢迎的滑块插件之一中的漏洞已使数十万网站面临完全接管的风险。该漏洞追踪为CVE-2026-3098,影响Smart Slider 3——活跃在超过80万WordPress安装上。

KENSAI视角

WordPress插件漏洞仍然是互联网上最可靠的攻击向量之一。KENSAI的Web应用扫描识别过时的插件和已知CVE。


2. LangChain与LangGraph三重漏洞威胁AI企业部署

⚠️ 高危 — LangChain/LangGraph三个关键缺陷:路径遍历、反序列化、SQL注入

CVE-2026-34070(CVSS 7.5)、CVE-2025-68664(CVSS 9.3)和CVE-2025-67644(CVSS 7.3)暴露文件系统数据、API密钥和对话历史。

LangChainLangGraph中的三个安全漏洞可能通过三条独立攻击路径暴露企业数据。PyPI上每周合计下载量超过8400万,爆炸半径巨大。

KENSAI视角

AI框架正成为关键基础设施。KENSAI的依赖扫描帮助在攻击者之前识别易受攻击的版本。


3. TeamPCP用WAV隐写术后门Telnyx PyPI包

⚠️ 严重 — 供应链攻击:Telnyx PyPI版本4.87.1和4.87.2被植入后门

TeamPCP入侵了PyPI上的官方Telnyx Python SDK,将窃取凭证的恶意软件隐藏在WAV音频文件中。请立即降级至4.87.0。

多产的供应链威胁行为者TeamPCP再次出击——入侵了PyPI上的官方Telnyx Python SDK,月下载量超过74万。

WAV隐写术技术

KENSAI视角

KENSAI的持续监控识别整个依赖树中的供应链暴露。


4. CISA标记关键PTC Windchill漏洞——德国警方出动

⚠️ 高危 — CVE-2026-4681:关键PTC Windchill漏洞促使德国警方亲自上门

CISA已将CVE-2026-4681添加至KEV目录。德国警方亲自走访组织发出警告。

在一项极为罕见的举措中,德国警方亲自走访组织警告PTC Windchill PLM软件中的关键漏洞。

KENSAI视角

KENSAI的基础设施扫描识别暴露的管理接口和未打补丁的企业软件——包括工业PLM系统。


5. Hightower Holding数据泄露影响13万人

金融控股公司Hightower Holding披露了一起影响约13万人的数据泄露事件。被泄露的数据包括姓名、社会安全号码和驾照号码。

KENSAI视角

KENSAI的自动化渗透测试识别网络暴露和配置错误的访问控制。


每日研究与产品摘要

发展影响类型所需行动
Smart Slider 3 WordPress CVE-2026-3098严重漏洞更新至v3.5.1.34
LangChain/LangGraph三重漏洞严重漏洞更新langchain-core和langgraph
TeamPCP Telnyx PyPI后门严重供应链降级至Telnyx 4.87.0
CISA PTC Windchill CVE-2026-4681高危漏洞修补Windchill
Hightower Holding泄露——13万中等数据泄露监控身份盗窃