人気の高いWordPressプラグインであるSmart Slider 3に深刻なセキュリティ脆弱性が発表されました。このプラグインは現在800,000以上のウェブサイトでアクティブです。
セキュリティ研究者Dmitrii Ignatyevによって発見されたこの脆弱性により、認証されたアタッカーがホスティングサーバーから任意のファイルを直接読み取ることができます。
悪用された場合、この脆弱性は重要なバックエンドインフラストラクチャを無許可ユーザーに公開します。
脆弱性プロフィール
- CVE識別子: CVE-2026-3098
- CVSSスコア: 6.5 (中)
- 影響を受けるソフトウェア: Smart Slider 3
- 脆弱なバージョン: 3.5.1.33以前
- パッチ版: 3.5.1.34
- 脆弱性タイプ: 認証された任意ファイル読み取り
- 必要な権限: サブスクライバーレベル以上
この脆弱性の根本原因は、プラグインのエクスポートアーキテクチャの深いところにあります。
Smart Slider 3は、スライダーデータのエクスポートを促進するために、一連のAJAXアクションを利用します。
プラグイン開発者はプライマリエクスポートアクションを保護するためにノンストークンを正しく実装しましたが、厳格な機能チェックを実施することを怠りました。
ノンスは任意の認証ユーザーがアクセスできるため、基本的なサブスクライバーのような低権限アカウントは簡単にそれを取得してAJAXリクエストを呼び出すことができます。
実行中、プラグインはControllerSlidersクラス内の actionExportAll() 関数に依存して、エクスポートファイルの最終ダウンロードを管理します。
このプロセスはExportSliderクラス内の create() メソッドを呼び出し、対象データをZIPアーカイブに圧縮します。
残念ながら、脆弱なバージョンはこのパッケージングフェーズ中にファイルタイプ検証が完全に不足しています。
その結果、プラグインは .php スクリプトを含むシステムファイルを盲目的に処理およびパッケージ化し、エクスポートをマルチメディアファイルのみに制限することはできません。
actionExportAll 関数の権限チェック欠如を武器化することで、悪意のあるアクターはエクスポートルーチンを操作して機密システムファイルをターゲットにすることができます。
この脆弱性により、単なるサブスクライバーアクセスを持つアタッカーが、重要な設定データを静かに抽出することができます。
このような攻撃中の主要なターゲットは通常、 wp-config.php ファイルです。
この特定のファイルを読み取ることで、アタッカーはプレーンテキストのデータベース認証情報、秘密認証キー、および暗号塩を取得します。
この機密情報を備えたら、脅威アクターは権限をエスカレートし、データベースレコードを操作したり、完全なウェブサイト乗っ取りを達成したりできます。
Ignatyevは2026年2月23日に脆弱性を責任を持って開示し、バグハンティングプログラムを通じて$2,208の報酬を獲得しました。
検証後、翌日にプレミアムセキュリティ顧客向けの保護ファイアウォールルールが展開されました。
プラグイン開発者のNextendは報告を確認し、2026年3月24日にバージョン3.5.1.34をすぐにリリースして、欠落している機能チェックを完全に解決しました。
ウェブサイト管理者は緊急にプラグインライブラリを確認し、Smart Slider 3をバージョン3.5.1.34に更新して、無許可のデータアクセスを防ぐ必要があります。
翻訳元: https://gbhackers.com/wordpress-plugin-flaw-exposes-800000-sites/
