文章总结： WordPress插件SmartSlider3存在CVE-2026-3098认证任意文件读取漏洞，影响超80万网站。该漏洞位于actionexportall()函数，允许低权限用户导出服务器核心文件（如wp-config.php），导致数据库凭据、加密密钥泄露，可能引发网站完全被控。开发者已发布3.5.1.34版本修复，建议管理员立即更新。 综合评分： 86 文章分类： 漏洞分析,web安全,漏洞预警,数据安全,应用安全

WordPress插件漏洞导致超过80万个网站的敏感数据泄露

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月31日 19:06 北京

Smart Slider 3 是一款被披露的高危安全漏洞，它是 WordPress 上使用最广泛的幻灯片构建插件之一。

由于有超过 80 万个活跃安装，这一漏洞使大量网站面临严重的数据盗窃 风险。

该漏洞编号为 CVE-2026-3098，属于中等严重性漏洞，允许权限极低的攻击者直接从托管服务器访问和下载高度敏感的配置文件。

对于允许用户公开注册的网站来说，这种漏洞尤其危险，因为任何标准订阅帐户都可能被利用来执行攻击。

WordPress插件漏洞

该漏洞被归类为“已认证任意文件读取”，存在于插件的导出功能深处。具体来说，根本缺陷位于 ControllerSliders 类中的 actionExportAll() 函数中。

在正常的工作流程中，此过程依赖于多个 AJAX 请求来编译和下载包含图像和配置设置的滑块导出ZIP 文件。

虽然这些关键操作之一受到安全 nonce 的保护，但在插件的易受攻击版本中，经过身份验证的攻击者可以很容易地获取此令牌。

更重要的是，AJAX 函数缺乏适当的权限检查，无法在执行代码之前验证用户的角色。

这一疏忽使得任何经过身份验证的用户，即使是那些只有基本订阅者级别访问权限的用户，都可以在无需管理员权限的情况下触发导出操作。

此外，负责构建导出 zip 文件的 create() 函数未能验证添加到归档文件中的文件的来源或类型。

由于该系统并未将导出限制为图像或视频文件等安全介质，因此威胁行为者可以利用此功能导出核心服务器文件。

这意味着攻击者可以轻松提取 .php 文件扩展名，完全绕过WordPress 的安全限制。此漏洞带来的主要且最严重的威胁是网站核心的 wp-config.php 文件可能遭到泄露。

如果攻击者成功下载此文件，他们将立即获得数据库凭据，以及用于保护用户会话的加密密钥和盐值。

掌握了这些敏感信息，攻击者就能轻易绕过身份验证，提升权限，并完全控制受影响的 Web 服务器。

安全研究员Dmitrii Ignatyev 发现了这个漏洞，并于 2026 年 2 月 23 日通过 Wordfence 漏洞赏金计划负责任地报告了该漏洞，获得了当之无愧的 2,208 美元奖励。

Wordfence 立即做出反应，于 2 月 24 日为其 Premium、Care 和 Response 用户提供了一条保护性防火墙规则，以阻止任何传入的攻击尝试。

使用 Wordfence 免费版的网站在 30 天后，即 2026 年 3 月 26 日，获得了同样的保护。

Nextend 的插件开发者已注意到该报告。他们迅速做出回应，于 2026 年 3 月 24 日发布了完全修复的版本。

强烈建议网站管理员立即将 Smart Slider 3 插件更新到 3.5.1.34 版本，以保护其环境免受潜在攻击。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《WordPress插件漏洞导致超过80万个网站的敏感数据泄露》