Plataforma
wordpress
Componente
smart-slider-3
Corrigido em
3.5.2
A vulnerabilidade CVE-2026-3098 afeta o plugin Smart Slider 3 para WordPress, permitindo o acesso arbitrário a arquivos. Com um impacto de 6.5 (MÉDIO), um invasor pode ler o conteúdo de arquivos no servidor. As versões afetadas são até 3.5.1.33. A correção está disponível na versão 3.5.1.34.
A vulnerabilidade CVE-2026-3098 no Smart Slider 3 representa um risco significativo para sites WordPress que utilizam este plugin. Ela permite que atacantes autenticados, mesmo com privilégios de assinante ou superiores, leiam arquivos arbitrários no servidor. Isso significa que eles podem potencialmente acessar informações confidenciais, como senhas, chaves de API, dados do banco de dados ou até mesmo o código-fonte do site. O score CVSS de 6.5 indica uma vulnerabilidade de severidade média, mas o potencial de dano é alto devido à facilidade de exploração e à sensibilidade das informações que podem ser comprometidas. A exposição dessas informações pode resultar na perda do controle do site, roubo de dados ou danos à reputação.
A vulnerabilidade reside na função 'actionExportAll' do plugin Smart Slider 3. Um atacante autenticado pode manipular a entrada para esta função para especificar o caminho de um arquivo arbitrário no servidor que deseja ler. Dado que os usuários com privilégios de assinante ou superiores podem autenticar no WordPress, a barreira de entrada para explorar esta vulnerabilidade é relativamente baixa. A exploração geralmente envolve o envio de uma solicitação HTTP especialmente elaborada para o site vulnerável, contendo o caminho do arquivo desejado. O servidor, sem a validação adequada, retornará o conteúdo do arquivo para o atacante. A detecção desta exploração pode ser difícil, pois pode se disfarçar como tráfego legítimo.
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A solução mais eficaz para mitigar o CVE-2026-3098 é atualizar o Smart Slider 3 para a versão 3.5.1.34 ou posterior. Esta versão inclui uma correção para a vulnerabilidade de leitura de arquivos arbitrários. Se não for possível atualizar imediatamente, recomenda-se restringir o acesso a arquivos sensíveis no servidor e monitorar os logs do site em busca de qualquer atividade suspeita. Além disso, certifique-se de que todos os usuários tenham senhas fortes e que a autenticação de dois fatores esteja habilitada sempre que possível. Auditorias de segurança regulares também podem ajudar a identificar e abordar possíveis vulnerabilidades.
Atualize para a versão 3.5.1.34, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de leitura de arquivos arbitrários no plugin Smart Slider 3 para WordPress.
Significa que o atacante deve ter feito login no site WordPress com uma conta de usuário (mesmo uma conta de assinante).
Restrinja o acesso a arquivos sensíveis e monitore os logs do site.
Se você estiver usando uma versão do Smart Slider 3 anterior à 3.5.1.34, você é vulnerável.
Existem scanners de vulnerabilidades do WordPress que podem detectar esta vulnerabilidade, mas a atualização é a melhor solução.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.