🔍 Contexte

PubliĂ© le 29 mars 2026 par BleepingComputer, cet article rapporte la dĂ©couverte et la correction d’une vulnĂ©rabilitĂ© de lecture de fichiers arbitraires dans le plugin WordPress Smart Slider 3, installĂ© sur plus de 800 000 sites web.

🐛 VulnĂ©rabilitĂ©

  • CVE : CVE-2026-3098
  • SĂ©vĂ©ritĂ© : Moyenne (authentification requise)
  • Versions affectĂ©es : toutes les versions jusqu’Ă  3.5.1.33 incluse
  • Version corrigĂ©e : 3.5.1.34 (publiĂ©e le 24 mars 2026)
  • DĂ©couvreur : Dmitrii Ignatyev, signalement Ă  Wordfence le 23 fĂ©vrier 2026

⚙ MĂ©canisme technique

La faille rĂ©side dans l’absence de vĂ©rification de capacitĂ©s sur les actions AJAX d’export du plugin. La fonction actionExportAll ne valide ni le type de fichier ni la source, permettant d’inclure n’importe quel fichier serveur dans l’archive d’export.

  • Un nonce est prĂ©sent mais ne constitue pas une protection suffisante car il est accessible Ă  tout utilisateur authentifiĂ©
  • Des fichiers .php peuvent ĂȘtre exportĂ©s, notamment wp-config.php contenant les identifiants de base de donnĂ©es, clĂ©s et salts cryptographiques
  • Niveau d’accĂšs requis : subscriber (abonnĂ©), le niveau le plus bas

🎯 Impact

  • Vol de donnĂ©es utilisateurs
  • Prise de contrĂŽle complĂšte du site web
  • Environ 500 000 sites toujours vulnĂ©rables au moment de la publication
  • Exploitation active non confirmĂ©e Ă  la date de publication

📋 Chronologie

Date ÉvĂ©nement
23 février 2026 Signalement à Wordfence par Ignatyev
2 mars 2026 Acknowledgement par Nextendweb
24 mars 2026 Publication du patch (version 3.5.1.34)
30 mars 2026 Publication de l’article

📰 Type d’article

Il s’agit d’un rapport de vulnĂ©rabilitĂ© publiĂ© par un mĂ©dia spĂ©cialisĂ©, visant Ă  informer les administrateurs de sites WordPress de l’existence d’une faille critique et de la disponibilitĂ© d’un correctif.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1083 — File and Directory Discovery (Discovery)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1190 — Exploit Public-Facing Application (Initial Access)

IOC

  • CVEs : CVE-2026-3098
  • Chemins : /wp-config.php

🔗 Source originale : https://www.bleepingcomputer.com/news/security/file-read-flaw-in-smart-slider-plugin-impacts-500k-wordpress-sites/

🖮 Archive : https://web.archive.org/web/20260330061206/https://www.bleepingcomputer.com/news/security/file-read-flaw-in-smart-slider-plugin-impacts-500k-wordpress-sites/