В экосистеме WordPress, где безопасность миллионов сайтов зависит от надежности сторонних расширений, обнаружение критических уязвимостей в популярных плагинах всегда становится событием, приковывающим внимание администраторов и специалистов по информационной безопасности по всему миру. На этот раз проблема затронула один из самых распространённых инструментов для создания слайдеров - плагин Smart Slider 3, который установлен более чем на 800 000 активных сайтов. Обнаруженная уязвимость позволяет злоумышленнику с минимальными правами доступа читать любые файлы на сервере, что создает прямую угрозу конфиденциальности данных и целостности веб-ресурсов.
Детали уязвимости CVE-2026-3098
Инцидент был зафиксирован 23 февраля 2026 года, когда исследователь Дмитрий Игнатьев отправил отчёт об уязвимости типа Arbitrary File Read (произвольное чтение файлов) в программу Bug Bounty компании Wordfence, которая специализируется на защите решений WordPress. За свою находку исследователь получил вознаграждение в размере 2208 долларов США. Данный случай наглядно демонстрирует важность и эффективность ответственных программ поиска уязвимостей, которые позволяют выявлять и устранять проблемы до их широкого использования киберпреступниками.
Техническая суть проблемы заключается в недостатках функции "actionExportAll", которая отвечает в плагине за процесс экспорта слайдеров. В уязвимых версиях, вплоть до 3.5.1.33 включительно, в этой функции отсутствовала должная проверка прав доступа и типа экспортируемых файлов. В результате, любой аутентифицированный пользователь с ролью "Подписчик" (Subscriber) или выше мог инициировать процесс экспорта и заставить плагин прочитать и включить в итоговый ZIP-архив содержимое любого файла в файловой системе сервера, включая критически важные системные файлы.
Особую опасность представляет возможность чтения файла "wp-config.php", который является сердцем любого сайта на WordPress. Этот файл содержит учётные данные для подключения к базе данных (логин, пароль, имя сервера), а также уникальные криптографические ключи и соли, используемые для шифрования информации. Получив доступ к этому файлу, злоумышленник может не только получить полный контроль над базой данных сайта, но и, в случае использования общих учётных данных, скомпрометировать другие ресурсы на том же сервере. Кроме того, под угрозой оказываются файлы с паролями, личными данными пользователей, ключами API и другой конфиденциальной информацией, которая может храниться в директориях проекта.
Процесс устранения уязвимости можно считать образцовым примером взаимодействия между исследователями безопасности, поставщиком защитного решения и разработчиком плагина. Команда Wordfence оперативно проверила отчёт и уже 24 февраля, через день после получения, предоставила полную информацию об уязвимости разработчикам плагина из компании Nextend через свой портал управления уязвимостями (Vulnerability Management Portal).
Разработчики Nextend оперативно отреагировали на сообщение и приступили к созданию исправления, которое было выпущено 24 марта 2026 года в версии плагина 3.5.1.34. Патч устранил ключевую проблему, добавив необходимые проверки прав доступа и валидацию файлов в процессе экспорта.
Данная уязвимость получила идентификатор CVE-2026-3098 и была оценена по шкале CVSS в 6.5 баллов, что соответствует среднему уровню опасности. Однако, учитывая простоту эксплуатации и огромную базу установленных копий плагина, её реальная угроза для экосистемы WordPress весьма значительна. Она служит ещё одним напоминанием о том, что даже плагины с безупречной репутацией и многомиллионной аудиторией могут содержать серьёзные изъяны в коде.
В свете произошедшего всем администраторам сайтов, использующим Smart Slider 3, необходимо в срочном порядке убедиться, что плагин обновлён до версии 3.5.1.34 или новее. Кроме того, данный инцидент подчёркивает важность принципа минимальных привилегий. Следует регулярно пересматривать список пользователей и их роли, удаляя неиспользуемые учётные записи и ограничивая права доступа для вновь создаваемых. Мониторинг подозрительной активности, особенно попыток доступа к AJAX-эндпоинтам плагинов с непривилегированных учётных записей, также может помочь в раннем обнаружении атак.
Обнаружение такой уязвимости в столь популярном плагине - это не только повод для беспокойства, но и демонстрация зрелости инфраструктуры безопасности WordPress. Эффективная работа программ Bug Bounty, быстрое взаимодействие между независимыми исследователями, вендорами средств защиты и разработчиками программного обеспечения позволяет создавать многоуровневую оборону, которая в конечном итоге защищает целостность и конфиденциальность данных миллионов пользователей по всему миру.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-3098
- https://www.wordfence.com/threat-intel/vulnerabilities/id/e2ce9caf-2ca2-401c-acc7-76be2fd72f36
- https://plugins.trac.wordpress.org/browser/smart-slider-3/tags/3.5.1.32/Nextend/SmartSlider3/Application/Admin/Sliders/ControllerSliders.php#L57
- https://plugins.trac.wordpress.org/changeset/3489689/smart-slider-3
