WordPress向けスライダープラグイン Smart Slider 3 に、認証済みユーザーによってサーバー上の任意ファイルを読み取られる脆弱性 CVE-2026-3098 が公表されました。Wordfenceによると、影響を受けるのは 3.5.1.33以前 で、Subscriber権限以上の認証済みユーザーが actionExportAll を通じて任意ファイルを読み取れる可能性があります。修正版は 3.5.1.34 です。
影響を受けるバージョンと対策バージョン
影響を受けるのは Smart Slider 3 の 3.5.1.33 以前です。NVDとWordfenceの双方がこの範囲を明示しており、
修正版を 3.5.1.34 としています。
脆弱性の概要
この脆弱性により、Subscriber権限以上を持つ認証済み攻撃者が、サーバー上の任意ファイルの内容を読み取れる可能性があります。影響はファイルの読み取りであり、直接の改ざんや削除ではありませんが、サーバー内の機微情報が露出するおそれがあります。
Wordfenceのブログによると、今回の脆弱性は2026年2月23日に報告を受け、翌24日にPoCを検証し、同日にベンダーへ詳細を通知しています。その後、3月2日にベンダーが対応を開始し、3月24日に完全修正版の 3.5.1.34 が公開されました。Wordfence Premium系利用者には2月24日に保護ルールが配信され、無料版利用者には3月26日に同等の保護が提供されたとしています。
参照








