Uma vulnerabilidade no plugin Smart Slider 3 para WordPress, ativo em mais de 800 mil sites, pode ser explorada para que usuários com nível de assinante acessem arquivos arbitrários no servidor.
Um atacante autenticado poderia usar essa falha para acessar arquivos sensíveis, como o wp-config.php, que contém credenciais do banco de dados, chaves e dados de salt, aumentando o risco de roubo de informações dos usuários e até a tomada completa do site.
O Smart Slider 3 é um dos plugins mais populares para WordPress na criação e gestão de sliders de imagens e carrosséis de conteúdo.
Ele oferece um editor intuitivo de arrastar e soltar, além de um amplo conjunto de templates.
A falha de segurança, identificada como
CVE-2026-3098
, foi descoberta e reportada pelo pesquisador Dmitrii Ignatyev e afeta todas as versões do Smart Slider 3 até a 3.5.1.33.
Recebeu classificação de severidade média por exigir autenticação, o que limita o impacto a sites que possuem opções de membros ou assinaturas, recurso comum em muitas plataformas atualmente.
A vulnerabilidade ocorre pela ausência de verificações de permissão nas ações AJAX de exportação do plugin, permitindo que qualquer usuário autenticado, incluindo assinantes, as acione.
Segundo pesquisadores da Defiant, empresa responsável pelo plugin de segurança Wordfence, a função 'actionExportAll' não valida o tipo nem a origem do arquivo, o que possibilita a leitura e inclusão de arquivos arbitrários do servidor no arquivo de exportação.
A presença de um nonce não impede o abuso, pois ele pode ser obtido por usuários autenticados.
“Infelizmente, essa função não inclui nenhuma verificação quanto ao tipo nem à origem do arquivo na versão vulnerável.
Isso significa que não apenas imagens ou vídeos podem ser exportados, mas também arquivos .php,” explica István Márton, pesquisador de vulnerabilidades da Defiant.
“Isso permite que atacantes autenticados com privilégios mínimos, como assinantes, leiam qualquer arquivo arbitrário no servidor, incluindo o wp-config.php, que contém as credenciais do banco de dados, além das chaves e salts usados na segurança criptográfica.”
No dia 23 de fevereiro, Ignatyev reportou a descoberta à Wordfence, cujo time validou o exploit proof-of-concept e comunicou à Nextendweb, desenvolvedora do Smart Slider 3.
A empresa reconheceu a vulnerabilidade em 2 de março e liberou a correção em 24 de março, com o lançamento da versão 3.5.1.34 do plugin.
De acordo com estatísticas do WordPress.org, o plugin foi baixado 303.428 vezes na última semana, indicando que pelo menos 500 mil sites WordPress ainda utilizam versões vulneráveis do Smart Slider 3 e estão expostos a ataques.
Até o momento, o
CVE-2026-3098
não foi identificado como sendo explorado ativamente, mas esse cenário pode mudar rapidamente.
Por isso, é fundamental que administradores e proprietários de sites atualizem o plugin o quanto antes.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...