WordPress插件Smart Slider 3存在一个安全漏洞

WordPress 插件 Smart Slider 3 存在一处高危文件读取漏洞，该插件在全球超 80 万个网站 上启用。攻击者可利用此漏洞，以普通订阅者权限读取服务器上的任意文件。

一名已认证的攻击者可借此访问敏感文件，例如包含数据库账号、密钥与盐值信息的 wp-config.php，进而导致用户数据被盗，甚至完全接管网站。

Smart Slider 3 是一款极为流行的 WordPress 幻灯片与轮播内容管理插件，支持可视化拖拽编辑并提供大量模板。

该漏洞编号为 CVE-2026-3098，由研究人员 Dmitrii Ignatyev 发现并上报，影响 3.5.1.33 及之前所有版本。由于漏洞利用需要登录认证，其评级为中危，但在广泛开启会员或订阅功能的网站上风险极高。

漏洞根源在于插件的 AJAX 导出接口未做权限校验，导致任意已认证用户（包括订阅者）均可调用相关功能。

WordPress 安全厂商 Defiant（Wordfence 开发商）的研究人员指出，插件中的 actionExportAll 函数未对文件类型与路径做任何校验，攻击者可读取服务器任意文件并打包导出。接口虽有 nonce 防护，但已认证用户可正常获取，因此无法阻止滥用。

Defiant 漏洞研究员 István Márton 表示：“在受影响版本中，该函数未做任何文件类型或来源限制。这意味着不仅图片、视频可被导出，PHP 文件同样能被读取。低权限攻击者（如订阅者）可读取服务器任意文件，包括包含数据库凭证、加密密钥与盐值的 wp-config.php，危害极大。”

2 月 23 日，研究人员将漏洞提交至 Wordfence 团队，经 PoC 验证后通报给插件开发商 Nextendweb。Nextendweb 于 3 月 2 日确认漏洞，并在 3 月 24 日发布 3.5.1.34 版本修复。

根据 WordPress.org 统计，该插件过去一周下载量为 303,428 次，意味着仍有至少 50 万个站点使用存在漏洞的版本，面临被入侵风险。

截至目前，CVE-2026-3098 暂未出现公开在野利用，但攻击风险可能快速上升，建议网站管理员尽快升级补丁。