Smart Slider WordPress漏洞暴露80万网站,LangChain AI框架三重漏洞泄露机密,TeamPCP Telnyx WAV隐写术攻击升级,CISA PTC Windchill警报出动德国警方,Hightower数据泄露影响13万人
Smart Slider 3 WordPress插件中的关键文件读取漏洞使80万网站面临凭证被盗风险。LangChain和LangGraph的三个新披露漏洞通过文件泄露和SQL注入威胁AI企业部署。TeamPCP通过WAV隐写术后门Telnyx PyPI包升级其供应链攻击。CISA标记一个关键的PTC Windchill漏洞,该漏洞促使德国警方亲自上门警告组织。Hightower Holding数据泄露暴露13万人的社会安全号码和驾照信息。
1. Smart Slider 3 WordPress插件漏洞使80万网站面临凭证被盗风险
⚠️ 严重 — CVE-2026-3098:Smart Slider 3任意文件读取(80万+活跃安装)
Smart Slider 3(版本至3.5.1.33)中的漏洞允许任何已认证用户——包括订阅者——读取任意服务器文件如wp-config.php。请立即更新至版本3.5.1.34。
WordPress最受欢迎的滑块插件之一中的漏洞已使数十万网站面临完全接管的风险。该漏洞追踪为CVE-2026-3098,影响Smart Slider 3——活跃在超过80万WordPress安装上。
- wp-config.php泄露:攻击者可读取数据库凭证、认证密钥和salt
- 低门槛:订阅者级别账户即可——无需管理员权限
- 规模:至少50万网站仍然存在漏洞
KENSAI视角
WordPress插件漏洞仍然是互联网上最可靠的攻击向量之一。KENSAI的Web应用扫描识别过时的插件和已知CVE。
2. LangChain与LangGraph三重漏洞威胁AI企业部署
⚠️ 高危 — LangChain/LangGraph三个关键缺陷:路径遍历、反序列化、SQL注入
CVE-2026-34070(CVSS 7.5)、CVE-2025-68664(CVSS 9.3)和CVE-2025-67644(CVSS 7.3)暴露文件系统数据、API密钥和对话历史。
LangChain和LangGraph中的三个安全漏洞可能通过三条独立攻击路径暴露企业数据。PyPI上每周合计下载量超过8400万,爆炸半径巨大。
KENSAI视角
AI框架正成为关键基础设施。KENSAI的依赖扫描帮助在攻击者之前识别易受攻击的版本。
3. TeamPCP用WAV隐写术后门Telnyx PyPI包
⚠️ 严重 — 供应链攻击:Telnyx PyPI版本4.87.1和4.87.2被植入后门
TeamPCP入侵了PyPI上的官方Telnyx Python SDK,将窃取凭证的恶意软件隐藏在WAV音频文件中。请立即降级至4.87.0。
多产的供应链威胁行为者TeamPCP再次出击——入侵了PyPI上的官方Telnyx Python SDK,月下载量超过74万。
WAV隐写术技术
- 阶段1:
telnyx/_client.py中的恶意代码在导入时自动触发 - 阶段2:恶意软件下载WAV文件——有效载荷使用XOR加密隐藏在音频帧中
- 阶段3:内存中执行,收集SSH密钥、云令牌、加密货币钱包和凭证
- Kubernetes横向移动:枚举集群密钥并部署特权Pod
KENSAI视角
KENSAI的持续监控识别整个依赖树中的供应链暴露。
4. CISA标记关键PTC Windchill漏洞——德国警方出动
⚠️ 高危 — CVE-2026-4681:关键PTC Windchill漏洞促使德国警方亲自上门
CISA已将CVE-2026-4681添加至KEV目录。德国警方亲自走访组织发出警告。
在一项极为罕见的举措中,德国警方亲自走访组织警告PTC Windchill PLM软件中的关键漏洞。
KENSAI视角
KENSAI的基础设施扫描识别暴露的管理接口和未打补丁的企业软件——包括工业PLM系统。
5. Hightower Holding数据泄露影响13万人
金融控股公司Hightower Holding披露了一起影响约13万人的数据泄露事件。被泄露的数据包括姓名、社会安全号码和驾照号码。
KENSAI视角
KENSAI的自动化渗透测试识别网络暴露和配置错误的访问控制。
每日研究与产品摘要
| 发展 | 影响 | 类型 | 所需行动 |
|---|---|---|---|
| Smart Slider 3 WordPress CVE-2026-3098 | 严重 | 漏洞 | 更新至v3.5.1.34 |
| LangChain/LangGraph三重漏洞 | 严重 | 漏洞 | 更新langchain-core和langgraph |
| TeamPCP Telnyx PyPI后门 | 严重 | 供应链 | 降级至Telnyx 4.87.0 |
| CISA PTC Windchill CVE-2026-4681 | 高危 | 漏洞 | 修补Windchill |
| Hightower Holding泄露——13万 | 中等 | 数据泄露 | 监控身份盗窃 |