.svg)
Faille critique dans Smart Slider 3 permet à un simple abonné de lire wp-config.php et voler les credentials.
Une vulnérabilité critique dans le plugin WordPress Smart Slider 3 touche plus de 800 000 sites. Même un utilisateur avec le plus bas niveau de privilège — un simple abonné — peut lire des fichiers sensibles comme wp-config.php, contenant les identifiants de base de données. Le correctif existe, mais des centaines de milliers de sites n'ont toujours pas applied.
La vulnérabilité CVE-2026-3098 affecte le plugin Smart Slider 3 (versions ≤ 3.5.1.33). Découverte par le chercheurs Dmitrii Ignatyev et validée par l'équipe Wordfence (Defiant), elle permet à tout utilisateur authentifié — même un abonné avec privilèges minimum — de lire des fichiers arbitraires sur le serveur.
Le problème réside dans une fonction AJAX manquante de vérification : l'action actionExportAll ne valide ni le type ni la source des fichiers. Un attaquant peut demander n'importe quel fichier, y compris wp-config.php qui contient :
« Cette vulnérabilité permet à des attaquants avec un accès minimal comme les abonnés de lire n'importe quel fichier arbitraire sur le serveur, y compris wp-config.php. » — István Márton, Wordfence
L'exploitation est simple car elle ne nécessite qu'un compte utilisateur básico — même abonné — sur le site WordPress cible.步骤 :
# Requête AJAX tipo pour exploiter CVE-2026-3098 POST /wp-admin/admin-ajax.php HTTP/1.1 Host: cible.com Cookie: wordpress_[session]=abonné action=actionExportAll&file=../../wp-config.php
Le plugin n'effectue aucune vérification sur :
La présence d'un nonce ne bloque pas l'attaque car il est accessible à tout utilisateur authentifié.
# Étape 1 : Obtenir un compte abonné # Inscription classique sur le site # Étape 2 : Extraire wp-config.php curl -X POST "https://cible.com/wp-admin/admin-ajax.php" \ -d "action=actionExportAll" \ -d "file=../../../../wp-config.php" # Étape 3 : Extraire credentials et pivoter # Database credentials, keys AWS, tokens API... # → Compromission complète du site
Aucun groupe APT spécifique n'est associé à cette vulnérabilité pour le moment. Cependant, le profil d'acteur correspondant aux threat actors opportunistes :
Voir les techniques MITRE ATT&CK associées :
500 000+ sites sont encore vulnérables aujourd'hui. Voici pourquoi :
Sites e-commerce, blogs avec espace membre, plateformes éducatives, sites d'actualité — tous utilisent des fonctionnalité d'authentification utilisateurs.
Pour apprendre à sécuriser vos sites WordPress et détecter ce type de vulnérabilités, ZeroDay Cyber Academy propose des formations pratiques sur la sécurité web et les tests d'intrusion.
Cette vulnérabilité illustre un problème récurrent : le risque d'authentification sous-estimé. Les administrateurs WordPress considèrent often les abonnés comme non dangereux car leurs privilèges sont limités. Mais certaines fonctions — comme cet export AJAX — ne vérifient pas les permissions au-delà de l'authentification de base.
La lesson : toute action敏感ible doit vérifier les autorisations spécifiques, pas seulement si l'utilisateur est connecté. Le concept de least privilege s'applique à chaque fonction, pas seulement à chaque rôle.
« Le maillon faibleWordPress n'est plus le plugin vulnérable, c'est la confiance aveugle dans les utilisateurs authentifiés. » — Analyste Wordfence
Le correctif existe depuis 6 jours. Le délai entre la publication du patch et son application détermine qui sera prochaine victime.
Points clés :
Pour maîtriser la détection et l'exploitation des vulnérabilités web, consultez ZeroDay Cyber Academy.
