WordPressのスライダー プラグイン Smart Slider 3に任意ファイル読み取り脆弱性(CVE-2026-3098)-80万超のWordPress サイトに影響

セキュリティニュース

投稿日時: 更新日時:

WordPressのスライダー プラグイン Smart Slider 3に任意ファイル読み取り脆弱性(CVE-2026-3098)-80万超のWordPress サイトに影響

WordPress向けスライダープラグイン Smart Slider 3 に、認証済みユーザーによってサーバー上の任意ファイルを読み取られる脆弱性 CVE-2026-3098 が公表されました。Wordfenceによると、影響を受けるのは 3.5.1.33以前 で、Subscriber権限以上の認証済みユーザーが actionExportAll を通じて任意ファイルを読み取れる可能性があります。修正版は 3.5.1.34 です。

影響を受けるバージョンと対策バージョン

影響を受けるのは Smart Slider 3 の 3.5.1.33 以前です。NVDとWordfenceの双方がこの範囲を明示しており、

修正版を 3.5.1.34 としています。

脆弱性の概要

この脆弱性により、Subscriber権限以上を持つ認証済み攻撃者が、サーバー上の任意ファイルの内容を読み取れる可能性があります。影響はファイルの読み取りであり、直接の改ざんや削除ではありませんが、サーバー内の機微情報が露出するおそれがあります。

Wordfenceのブログによると、今回の脆弱性は2026年2月23日に報告を受け、翌24日にPoCを検証し、同日にベンダーへ詳細を通知しています。その後、3月2日にベンダーが対応を開始し、3月24日に完全修正版の 3.5.1.34 が公開されました。Wordfence Premium系利用者には2月24日に保護ルールが配信され、無料版利用者には3月26日に同等の保護が提供されたとしています。

参照