WordPress Plugin Flaw Exposes Sensitive Data Across 800,000+ Sites
2026/03/30 gbhackers — 80万以上の Web サイトで稼働する WordPress プラグイン Smart Slider 3 に、深刻なセキュリティ脆弱性が存在することが明らかにされた。この脆弱性 CVE-2026-3098 を悪用する認証済み攻撃者は、ホスト・サーバから直接に任意ファイルを読み取ることが可能になり、バックエンド・インフラの重要情報が露出する。
脆弱性の概要
CVE 識別子:CVE-2026-3098
CVSS 評価:6.5 (Medium)
影響ソフトウェア:Smart Slider 3
影響バージョン:3.5.1.33 以前
修正バージョン:3.5.1.34
脆弱性タイプ:認証済み任意ファイル読み取り
必要権限:subscriber レベル以上
セキュリティ研究者 Dmitrii Ignatyev により発見された、この脆弱性の原因は、プラグインのエクスポート・アーキテクチャ内部に存在する。
Smart Slider 3 は、スライダーデータのエクスポートを実現するために、複数の AJAX アクションを使用する。このエクスポート処理において、nonce トークンが実装されているが、厳格な権限チェックは実装されていない。
すべての認証済みユーザーが nonce の取得が可能であるため、subscriber などの低権限ユーザーであっても AJAX リクエストを実行できる。
このプラグインは、ControllerSliders クラス内の actionExportAll() 関数を使用し、エクスポート・ファイルのダウンロード処理を管理する。この処理は、ExportSlider クラス内の create() メソッドを呼び出し、対象データを ZIP アーカイブに圧縮する。
脆弱バージョンでは、このパッケージ処理において、ファイル・タイプ検証が完全に欠落している。その結果として、すべての “.php” スクリプトを含むシステム・ファイルが処理対象となってしまう。つまり、マルチメディア・ファイルのみに限定されるべき処理が制御されていない。
actionExportAll() 関数における権限チェックの欠如を突く脅威アクターは、エクスポート処理を悪用することで機密ファイルを攻撃の対象にできる。
この脆弱性により、subscriber 権限のみを持つ攻撃者は、重要なコンフィグ・データを取得できる。彼らの主な攻撃対象は、”wp-config.php” ファイルである。このファイルには、データベース認証情報/認証キー/暗号化ソルトが平文で含まれる。
したがって、これらの情報を取得されると、権限昇格/データベース改竄/完全な Web サイト乗っ取りにつながる。
2026年2月23日に Dmitrii Ignatyev は、この脆弱性を適切に開示し、バグ報奨金として $2,208 を受け取った。
この情報を受領した、プラグインの開発元である Nextend は、2026年3月24日にバージョン 3.5.1.34 を公開し、権限チェック不備を修正した。Web サイト管理者はプラグイン・コンフィグを確認し、Smart Slider 3 のバージョン 3.5.1.34 へと更新する必要がある。
また、問題が検証された翌日には、Smart Slider 3 のプレミアム・ユーザー向けにファイアウォール・ルールが展開されている。
訳者後書:WordPress プラグイン Smart Slider 3 に、深刻な脆弱性 CVE-2026-3098 が発見されました。この問題の原因は、プラグインのエクスポート機能において欠落している、 操作を実行するユーザーの権限を正しく確認する仕組みと、読み出すファイルの形式を制限するチェックの不備にあります。さらに深刻なのは、データを ZIP ファイルにまとめる際の不備です。本来は画像などのマルチメディア・ファイルだけを対象にすべきところ、ファイル形式の検証が全く行われていなかったため、システム上の任意のファイルをアーカイブに含めることが可能となっています。ご利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.