Уязвимость в плагине WordPress Smart Slider 3, активном на более чем 800 000 сайтов, позволяет пользователям с правами подписчика получить доступ к произвольным файлам сервера, включая конфиденциальный wp-config.php. Исследователи обнаружили, что отсутствие проверок в AJAX-действиях экспорта открывает путь к краже данных. — bleepingcomputer.com
Уязвимость в плагине WordPress Smart Slider 3, используемом на более чем 800 000 сайтах, может быть использована для предоставления пользователям с уровнем подписки доступа к произвольным файлам на сервере.
Аутентифицированный злоумышленник мог использовать ее для доступа к конфиденциальным файлам, таким как wp-config.php, который содержит учетные данные базы данных, ключи и данные соли, что создает риск кражи пользовательских данных и полного захвата веб-сайта.
Smart Slider 3 — один из самых популярных плагинов WordPress для создания и управления слайдерами изображений и каруселями контента. Он предлагает простой в использовании редактор drag-and-drop и богатый набор шаблонов на выбор.
Проблема безопасности, отслеживаемая как CVE-2026-3098, была обнаружена и сообщена исследователем Дмитрием Игнатьевым и затрагивает все версии плагина Smart Slider 3 до 3.5.1.33 включительно.
Ей был присвоен средний уровень критичности из-за требования аутентификации. Однако это ограничивает воздействие только веб-сайтами с функциями членства или подписки, что является распространенной особенностью многих современных платформ.
Уязвимость связана с отсутствием проверок возможностей в AJAX-действиях экспорта плагина. Это позволяет любому аутентифицированному пользователю, включая подписчиков, вызывать их.
По словам исследователей из компании по безопасности WordPress Defiant, разработчика плагина безопасности Wordfence, функция ‘actionExportAll’ не имеет проверки типа и источника файла, что позволяет считывать произвольные файлы сервера и добавлять их в архив экспорта.
Наличие nonce не предотвращает злоупотребление, поскольку оно может быть получено аутентифицированными пользователями.
«К сожалению, в уязвимой версии эта функция не включает никаких проверок типа файла или источника файла. Это означает, что можно экспортировать не только файлы изображений или видео, но и файлы .php», — говорит Иштван Мартон, подрядчик по исследованию уязвимостей в Defiant.
«В конечном счете, это позволяет аутентифицированным злоумышленникам с минимальным доступом, таким как подписчики, считывать любой произвольный файл на сервере, включая файл wp-config.php сайта, который содержит учетные данные базы данных, а также ключи и соли для криптографической безопасности».
500 тыс. сайтов все еще уязвимы
23 февраля Игнатьев сообщил о своих находках в Wordfence, исследователи которого проверили предоставленный эксплойт с доказательством концепции и проинформировали Nextendweb, разработчика Smart Slider 3.
Nextendweb подтвердил получение отчета 2 марта и 24 марта выпустил исправление с релизом Smart Slider версии 3.5.1.34.
Согласно статистике WordPress.org, за последнюю неделю плагин был загружен 303 428 раз. Это означает, что как минимум 500 000 сайтов WordPress используют уязвимую версию плагина Smart Slider 3 и подвержены атакам.
На момент написания CVE-2026-3098 не отмечена как активно эксплуатируемая, но ситуация может скоро измениться, поэтому владельцам/администраторам сайтов требуются незамедлительные действия.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas