Gratis scannen
MEDIUMCVE-2026-3098CVSS 6.5

Smart Slider 3 <= 3.5.1.33 - Authenticated (Subscriber+) Arbitrary File Read via actionExportAll

Platform

wordpress

Component

smart-slider-3

Opgelost in

3.5.2

AI Confidence: highNVDEPSS 0.0%Beoordeeld: mrt 2026
Bekijk op NVD
Opslaan

CVE-2026-3098 beschrijft een Arbitrary File Read kwetsbaarheid in het Smart Slider 3 plugin voor WordPress. Deze kwetsbaarheid maakt het mogelijk voor geauthenticeerde aanvallers om willekeurige bestanden op de server te lezen. De getroffen versies zijn tot en met 3.5.1.33. De kwetsbaarheid is verholpen in versie 3.5.1.34.

WordPress

Detecteer deze CVE in je project

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannen

Impact en Aanvalsscenarios

CVE-2026-3098 in Smart Slider 3 vormt een aanzienlijk risico voor WordPress-websites die deze plugin gebruiken. Het stelt geauthenticeerde aanvallers, zelfs met Subscriber-rechten of hoger, in staat om willekeurige bestanden op de server te lezen. Dit betekent dat ze potentieel gevoelige informatie kunnen benaderen, zoals wachtwoorden, API-sleutels, databasegegevens of zelfs de broncode van de website. De CVSS-score van 6,5 duidt op een kwetsbaarheid van gemiddelde ernst, maar het potentiële schade is groot vanwege de gemakkelijke uitbuiting en de gevoeligheid van de informatie die mogelijk wordt gecompromitteerd. De blootstelling van deze informatie kan leiden tot verlies van controle over de site, diefstal van gegevens of reputatieschade.

Uitbuitingscontext

De kwetsbaarheid bevindt zich in de functie 'actionExportAll' van de Smart Slider 3-plugin. Een geauthenticeerde aanvaller kan de invoer naar deze functie manipuleren om het pad van een willekeurig bestand op de server op te geven dat hij wil lezen. Aangezien gebruikers met Subscriber- of hogere rechten zich in WordPress kunnen authenticeren, is de drempel om deze kwetsbaarheid uit te buiten relatief laag. Exploitatie omvat typisch het verzenden van een speciaal samengestelde HTTP-verzoek naar de kwetsbare website, dat het gewenste bestandspad bevat. De server geeft zonder de juiste validatie de inhoud van het bestand terug aan de aanvaller. Het detecteren van deze exploitatie kan moeilijk zijn, omdat het kan worden vermomd als legitiem verkeer.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

EPSS

0.03% (8% percentiel)

CISA SSVC

Exploitatienone
Automatiseerbaarno
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N6.5MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityNoneRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Geen — geen integriteitsimpact.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Componentsmart-slider-3
Leverancierwordfence
Getroffen bereikOpgelost in
0 – 3.5.1.333.5.2

Pakketinformatie

Actieve installaties
800KBekend
Plugin-beoordeling
4.9
Vereist WordPress
5.0+
Compatibel tot
6.9.4
Vereist PHP
7.0+
Website

Zwakheidsclassificatie (CWE)

CWE-862

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt

Mitigatie en Workarounds

De meest effectieve oplossing om CVE-2026-3098 te mitigeren, is het bijwerken van Smart Slider 3 naar versie 3.5.1.34 of hoger. Deze versie bevat een correctie voor de kwetsbaarheid van willekeurig bestandslezen. Als een onmiddellijke update niet mogelijk is, wordt aanbevolen om de toegang tot gevoelige bestanden op de server te beperken en de website-logs te controleren op verdachte activiteiten. Zorg er bovendien voor dat alle gebruikers sterke wachtwoorden gebruiken en dat de tweefactorauthenticatie waar mogelijk is ingeschakeld. Regelmatige beveiligingsaudits kunnen ook helpen bij het identificeren en aanpakken van potentiële kwetsbaarheden.

Hoe te verhelpen

Update naar versie 3.5.1.34, of een nieuwere gepatchte versie

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragen

Wat is CVE-2026-3098 — Arbitrary File Access in Smart Slider 3?

Het is een kwetsbaarheid voor willekeurig bestandslezen in de Smart Slider 3-plugin voor WordPress.

Ben ik getroffen door CVE-2026-3098 in Smart Slider 3?

Het betekent dat de aanvaller moet zijn ingelogd op de WordPress-website met een gebruikersaccount (zelfs een subscriber-account).

Hoe los ik CVE-2026-3098 in Smart Slider 3 op?

Beperk de toegang tot gevoelige bestanden en controleer de website-logs.

Wordt CVE-2026-3098 actief misbruikt?

Als u een versie van Smart Slider 3 gebruikt die vóór 3.5.1.34 is uitgebracht, bent u kwetsbaar.

Waar vind ik het officiële Smart Slider 3-beveiligingsadvies voor CVE-2026-3098?

Er zijn WordPress-kwetsbaarheidsscanners die deze kwetsbaarheid kunnen detecteren, maar bijwerken is de beste oplossing.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken