Smart Slider 3 zählt zu den populärsten WordPress-Plugins für Bild-Slider und Inhalts-Karussells und bietet einen Drag-and-drop-Editor samt umfangreicher Vorlagensammlung. Nach Angaben von WordPress.org wurde das Plugin allein in der vergangenen Woche 303.428-mal heruntergeladen. Daraus folgt, dass mindestens 500.000 Websites eine verwundbare Version einsetzen und damit angreifbar sind.
Die Ursache der Schwachstelle liegt in fehlenden Berechtigungsprüfungen bei den AJAX-Export-Aktionen des Plugins. Dadurch kann jeder authentifizierte Nutzer – einschließlich einfacher Abonnenten – diese Aktionen aufrufen. Forscher des Sicherheitsunternehmens Defiant, Entwickler des Wordfence-Plugins, führen das Problem auf die Funktion ‘actionExportAll’ zurück, der jede Prüfung von Dateityp und Dateiquelle fehlt. So lassen sich beliebige Serverdateien auslesen und dem Export-Archiv hinzufügen. Ein vorhandener Nonce verhindert den Missbrauch nicht, da authentifizierte Nutzer ihn beschaffen können.
„Leider enthält diese Funktion in der verwundbaren Version keinerlei Prüfungen von Dateityp oder Dateiquelle. Das bedeutet, dass nicht nur Bild- oder Videodateien exportiert werden können, sondern auch .php-Dateien“, erklärt István Márton, der als Vertragsforscher für Schwachstellen bei Defiant tätig ist. Angreifer mit minimalen Rechten wie Abonnenten könnten so jede beliebige Datei auf dem Server auslesen, einschließlich der wp-config.php, die Datenbank-Zugangsdaten sowie Schlüssel und Salts für die kryptografische Absicherung enthält.
Den Ablauf der Meldung schildern die Beteiligten detailliert: Am 23. Februar übermittelte Ignatyev seine Erkenntnisse an Wordfence, dessen Forscher den vorgelegten Proof-of-Concept-Exploit bestätigten und den Hersteller Nextendweb informierten. Nextendweb bestätigte die Meldung am 2. März und lieferte am 24. März mit der Version 3.5.1.34 einen Patch aus.
Die mittlere Einstufung beschränkt die Auswirkungen auf Websites mit Mitglieder- oder Abonnementoptionen – eine Funktion, die heute auf vielen Plattformen verbreitet ist. CVE-2026-3098 wird zum Zeitpunkt der Veröffentlichung nicht als aktiv ausgenutzt geführt, dieser Status kann sich jedoch ändern. Betreiber und Administratoren sollten daher zügig handeln.
