Zraniteľnosť WordPress Smart Slider 3 umožňuje krádež dát

Bezpečnostní výskumníci upozornili na kritickú zraniteľnosť v doplnku Smart Slider 3 pre WordPress, ktorý je aktívny na viac ako 800 000 webových stránkach. Zraniteľnosť umožňuje akémukoľvek autentifikovanému používateľovi vrátane úrovne subscriber čítať ľubovoľné súbory na serveri.

Zraniteľné systémy:

• WordPress Smart Slider 3, verzia 3.5.1.33 a staršie  

Opis činnosti:

CVE-2026-3098 (CVSS skóre 6,5)

Zraniteľnosť sa nachádza vo funkcii actionExportAll(), ktorá súvisí s exportom súborov. Funkcia nekontroluje formát a zdroj vyžiadaného súboru. To umožňuje akémukoľvek autentifikovanému používateľovi vrátane úrovne subscriber prečítať ľubovoľné súbory na serveri, vrátane citlivých dát vo wp‑config.php.

Možné škody:

• Únik citlivých informácií

Odporúčania:

Bezodkladná aktualizácia modulu Smart Slider 3 aspoň na verziu 3.5.1.34.

Odkazy:

• https://www.wordfence.com/blog/2026/03/800000-wordpress-sites-affected-by-arbitrary-file-read-vulnerability-in-smart-slider-3-wordpress-plugin/
• https://nvd.nist.gov/vuln/detail/CVE-2026-3098