По сообщениям экспертов, популярный плагин для WordPress, установленный на сотнях тысяч веб-сайтов, содержал в себе уязвимость, которая позволяла злоумышленникам получать конфиденциальную информацию, включая учетные данные.
Smart Slider 3 (активен на 800 000 сайтов) применяется для создания адаптивных, кастомизируемых слайдеров и визуальных блоков без необходимости написания кода.
Старые версии плагина вплоть до 3.5.1.33 включительно содержали уязвимость произвольного чтения файлов (Arbitrary File Read); с ее помощью злоумышленники могли получать доступ к файлам на сервере и читать их.
Установка патча
Уязвимость в Smart Slider 3 связана с отсутствием проверок прав доступа в функциях экспорта AJAX. Все авторизованные пользователи (даже такие, как подписчики) могут легко получить токен безопасности и запустить процесс экспорта.
В итоге функция actionExportAll() пакует файлы в скачиваемый zip-архив с помощью file_get_contents() – никакой валидации типа файла или источника не предусмотрено. Соответственно, злоумышленники могут запаковать в архив любые серверные файлы, в том числе и wp-config.php. Отсутствие ограничений позволяет авторизованным пользователям читать конфиденциальные данные, хранящиеся на сервере.
Уязвимость эта достаточно опасная, поскольку файлы могут содержать чувствительную информацию: учетные данные, ключи, соли. Однако для осуществления атаки злоумышленникам необходимо сначала пройти аутентификацию на сайте, а потому уязвимости присвоен средний уровень серьезности. В реальности же риски выше, так как разные членства и подписки в последние годы стали очень популярны на многочисленных платформах.
Брешь изначально была обнаружена специалистом в области безопасности Дмитрием Игнатьевым в конце февраля 2026 года, о чем он сообщил в Wordfence в начале марта. За это он получил вознаграждение в размере 2200 долларов.
Компания Nextendweb, являющаяся разработчиком плагина Smart Slider 3, выпустила патч 3.5.1.34; на момент написания статьи патч был загружен 308 575 раз – это означает, что уязвимыми остается около полумиллиона сайтов.
В настоящее время нет сообщений об использовании этой уязвимости на практике; при этом пользователям рекомендовано как можно скорее обновить плагин, чтобы избежать подобных атак.
Источник: https://www.techradar.com
