Smart Slider 3 WordPress 外掛程式存在一個漏洞，該漏洞已在超過 80 萬個網站上激活，可被利用來允許訂閱用戶存取伺服器上的任意檔案。經過身份驗證的攻擊者可以利用它來存取敏感文件，例如 wp-config.php，其中包含資料庫憑證、金鑰和鹽數據，從而造成用戶資料被盜和網站完全被接管的風險。

Smart Slider 3 是最受歡迎的 WordPress 外掛之一，用於建立和管理圖片滑桿和內容輪播。它提供了一個易於使用的拖放編輯器和豐富的模板供用戶選擇。

此安全問題編號為 CVE-2026-3098，由研究員 Dmitrii Ignatyev 發現並報告，影響 Smart Slider 3 外掛程式 3.5.1.33 及更早版本的所有版本。由於需要身份驗證，該漏洞的嚴重程度評分為中等。然而，這僅對具有會員或訂閱選項的網站造成影響，而這種功能在當今許多平台上都很常見。

2 月 23 日，Dmitrii Ignatyev向 Wordfence 報告了他的發現，Wordfence 的研究人員驗證了提供的概念驗證漏洞利用，並通知了 Smart Slider 3 的開發商 Nextendweb。根據WordPress.org 的統計數據，該外掛程式在過去一周內被下載了 303,428 次。這意味著至少有 50 萬個 WordPress 網站正在運行存在漏洞的 Smart Slider 3 外掛程式版本，並面臨攻擊風險。截至撰寫本文時，CVE-2026-3098 尚未被標記為正在積極利用，但情況可能很快就會發生變化，因此網站所有者/管理員需要迅速採取行動。

資料來源：https://www.bleepingcomputer.com/news/security/file-read-flaw-in-smart-slider-plugin-impacts-500k-wordpress-sites/