Falha em plugin do WordPress coloca mais de 500 000 sites na mira de invasores ao permitir que qualquer usuário com permissão de assinante leia arquivos críticos, inclusive o wp-config.php, onde ficam senhas de banco de dados e chaves de segurança. Descoberta foi catalogada como CVE-2026-3098 e afeta todas as versões do Smart Slider 3 até a 3.5.1.33.
Como a brecha permite acesso total ao servidor
O pesquisador Dmitrii Ignatyev identificou que o script responsável por gerar os carrosséis do Smart Slider 3 não filtra corretamente as requisições de leitura de arquivo. Na prática, um membro autenticado como “assinante” envia um comando apontando para qualquer caminho interno e recebe o conteúdo solicitado em texto puro. Como o plug-in roda com privilégios elevados, é possível baixar o wp-config.php em segundos — passo que abre caminho para alterar credenciais, instalar malware ou assumir o domínio inteiro.
A gravidade foi classificada como média porque o atacante precisa de login prévio, mas o risco aumenta em blogs com áreas de membros, sites de cursos, lojas ou portais que liberam registro aberto. Qualquer cadastro gratuito vira uma porta de entrada para o roubo de dados.
Quem está em risco e o que fazer agora
Segundo a página oficial do plug-in, o Smart Slider 3 contabiliza mais de 500 000 instalações ativas no repositório do WordPress, o que dimensiona o potencial de impacto. Todas as instâncias que não atualizaram para a versão 3.5.1.34 (ou superior) permanecem vulneráveis.
Recomenda-se:
- Atualizar o Smart Slider 3 imediatamente pela área de plugins do WordPress;
- Alterar senhas do banco de dados e regenerar as chaves de segurança no wp-config.php;
- Revisar quais usuários têm perfil de assinante e remover contas inativas;
- Habilitar um firewall de aplicação e limitar o acesso ao painel.
A descrição técnica completa da falha está disponível no National Vulnerability Database, que confirma o status e a exploração em ambiente real.
Falhas desse tipo mostram como extensões populares podem virar ponto cego de segurança. Para acompanhar outras vulnerabilidades que podem afetar seu site em WordPress, continue lendo nossa editoria dedicada ao CMS em WordPress Estratégico.
Crédito da imagem: Tudocelular Fonte: Tudocelular
