Plateforme
wordpress
Composant
smart-slider-3
Corrigé dans
3.5.2
La vulnérabilité CVE-2026-3098 dans le plugin Smart Slider 3 pour WordPress permet la lecture de fichiers arbitraires. Un attaquant authentifié peut lire le contenu de fichiers sensibles sur le serveur. Les versions jusqu'à 3.5.1.33 sont affectées. Le correctif est disponible dans la version 3.5.1.34.
La vulnérabilité CVE-2026-3098 dans Smart Slider 3 représente un risque important pour les sites web WordPress utilisant ce plugin. Elle permet à des attaquants authentifiés, même avec un accès de niveau abonné ou supérieur, de lire des fichiers arbitraires sur le serveur. Cela signifie qu'ils pourraient potentiellement accéder à des informations sensibles telles que des mots de passe, des clés API, des données de base de données ou même le code source du site web. Le score CVSS de 6,5 indique une vulnérabilité de sévérité moyenne, mais le potentiel de dommage est élevé en raison de la facilité d'exploitation et de la sensibilité des informations qui pourraient être compromises. L'exposition de ces informations pourrait entraîner une perte de contrôle du site, un vol de données ou des dommages à la réputation.
La vulnérabilité réside dans la fonction 'actionExportAll' du plugin Smart Slider 3. Un attaquant authentifié peut manipuler l'entrée de cette fonction pour spécifier le chemin d'un fichier arbitraire sur le serveur qu'il souhaite lire. Étant donné que les utilisateurs disposant de privilèges d'abonné ou supérieurs peuvent s'authentifier dans WordPress, la barrière à l'entrée pour exploiter cette vulnérabilité est relativement faible. L'exploitation implique généralement l'envoi d'une requête HTTP spécialement conçue au site web vulnérable, contenant le chemin du fichier souhaité. Le serveur, sans validation appropriée, renverra le contenu du fichier à l'attaquant. La détection de cette exploitation peut être difficile, car elle peut se déguiser en trafic légitime.
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace pour atténuer CVE-2026-3098 est de mettre à jour Smart Slider 3 à la version 3.5.1.34 ou ultérieure. Cette version inclut une correction pour la vulnérabilité de lecture de fichiers arbitraires. Si une mise à jour immédiate n'est pas possible, il est recommandé de restreindre l'accès aux fichiers sensibles sur le serveur et de surveiller les journaux du site web à la recherche d'activités suspectes. Assurez-vous également que tous les utilisateurs disposent de mots de passe forts et que l'authentification à deux facteurs est activée chaque fois que possible. Des audits de sécurité réguliers peuvent également aider à identifier et à traiter les vulnérabilités potentielles.
Mettez à jour vers la version 3.5.1.34, ou une version corrigée plus récente
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité de lecture de fichiers arbitraires dans le plugin Smart Slider 3 pour WordPress.
Cela signifie que l'attaquant doit s'être connecté au site web WordPress avec un compte utilisateur (même un compte abonné).
Restreignez l'accès aux fichiers sensibles et surveillez les journaux du site web.
Si vous utilisez une version de Smart Slider 3 antérieure à 3.5.1.34, vous êtes vulnérable.
Il existe des scanners de vulnérabilités WordPress qui peuvent détecter cette vulnérabilité, mais la mise à jour est la meilleure solution.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.