Une faille de sécurité dans l’extension WordPress Smart Slider 3, présente sur plus de 800 000 sites, menace l’intégrité de ces plateformes. Cette vulnérabilité permet à des utilisateurs disposant du plus bas niveau d’accès, comme les simples abonnés, de lire des fichiers arbitraires hébergés sur le serveur.
Un accès aux données sensibles facilité
Un attaquant authentifié pourrait exploiter cette brèche pour accéder à des fichiers critiques, notamment le fichier wp-config.php. Ce dernier contient les identifiants de connexion à la base de données, ainsi que les clés et salages de sécurité. La compromission de ce fichier ouvre la voie au vol de données et à une prise de contrôle totale du site web.
L’extension Smart Slider 3, très populaire pour créer des diaporamas, présente une lacune de sécurité répertoriée sous l’identifiant CVE-2026-3098. Elle affecte toutes les versions du plugin jusqu’à la 3.5.1.33. Bien que classée de sévérité moyenne car nécessitant une authentification, son impact reste significatif sur les sites proposant des inscriptions utilisateurs, une fonctionnalité très répandue.
Une absence de validation critique
La vulnérabilité trouve son origine dans un manque de contrôle des capacités utilisateur dans les actions AJAX du plugin. Selon les chercheurs de la société de sécurité Defiant, la fonction ‘actionExportAll‘ ne valide ni le type ni la source des fichiers, autorisant leur ajout dans une archive d’export.
« Cette fonction ne comporte aucun contrôle dans la version vulnérable. Des fichiers .php peuvent donc être exportés tout comme des images », explique un chercheur en vulnérabilités sous-traitant pour Defiant. « Cela rend possible la lecture de n’importe quel fichier sur le serveur par des attaquants avec un accès minimal. »
Un demi-million de sites non patchés
La faille a été rapportée par le chercheur Dmitrii Ignatyev le 23 février. Le développeur Nextendweb a publié un correctif le 24 mars avec la version 3.5.1.34 de Smart Slider.
Malgré cette mise à jour, les statistiques de WordPress.org indiquent que le plugin a été téléchargé plus de 300 000 fois la semaine dernière. Environ 500 000 sites WordPress exécutent donc toujours une version vulnérable et restent exposés.
Si aucune exploitation active n’est encore signalée pour le CVE-2026-3098, cette situation peut évoluer rapidement. Les propriétaires et administrateurs de sites sont vivement encouragés à appliquer le correctif sans délai.