Smart Slider 3に任意ファイル読み取りの脆弱性——80万超のWordPressサイトに影響
WordPressの人気プラグイン「Smart Slider 3」に、認証済みユーザーがサーバー上の任意ファイルを読み取れる脆弱性(CVE-2026-3098)が発見された。影響を受けるのはバージョン3.5.1.33以前のすべてのバージョン。現在このプラグインは80万以上のサイトで使用されており、パッチ未適用のサイトは推定50万以上に上ると見られている。
脆弱性の仕組み
Smart Slider 3は、ドラッグ&ドロップ操作で画像スライダーやコンテンツカルーセルを作成できるプラグインとして広く普及している。今回の問題は、プラグインのAJAXエクスポート機能におけるケイパビリティチェックの欠如に起因する。
具体的には、actionExportAll関数がファイルの種類や送信元の検証を行っていないため、サブスクライバー(一般会員)レベルの権限しか持たないユーザーでも、PHPファイルを含む任意のサーバーファイルをエクスポートアーカイブに追加できてしまう。
WordPressセキュリティ企業Defiant(Wordfenceの開発元)の脆弱性研究者イシュトバン・マルトン氏は次のように説明している。
「この関数は脆弱なバージョンにおいて、ファイルの種類やファイルの送信元をチェックしない。画像や動画だけでなく、.phpファイルも含めてエクスポートできてしまう。結果として、サブスクライバーのような最小限のアクセス権しか持たない認証済み攻撃者が、wp-config.phpを含むサーバー上の任意ファイルを読み取ることが可能になる」
wp-config.phpにはデータベースの認証情報や暗号化キー・ソルトが含まれており、これが漏洩した場合はデータベースへの不正アクセスやサイトの完全乗っ取りにつながる危険性がある。なおノンス(CSRF対策トークン)が存在するものの、認証済みユーザーであれば取得可能なため、攻撃の抑止にはならない。
発見から修正までの経緯
- 2026年2月23日: 研究者のドミトリー・イグナティエフ氏がWordfenceに報告
- 2026年3月2日: プラグイン開発元のNextendwebが報告を承認
- 2026年3月24日: バージョン3.5.1.34でパッチを提供
深刻度は「中(Medium)」と評価されているが、これは認証が必要という条件によるもの。会員登録機能を持つECサイトやメディアサイトなど、ユーザー登録を受け付けているサイトでは攻撃リスクが高い。
対応方法
WordPress.orgの統計によると、過去1週間でのダウンロード数は30万件超。それでも全体のインストール数(80万以上)を考えると、依然として多数のサイトが脆弱なバージョンのままとなっている。
現時点では積極的な悪用は確認されていないが、証明済みのPoCエクスプロイトが存在するため、攻撃が始まる前に速やかにバージョン3.5.1.34以降へアップデートすることが強く推奨される。
WordPressサイトの管理者は、管理画面の「プラグイン」→「更新」から即座にアップデートを適用してほしい。
元記事: File read flaw in Smart Slider plugin impacts 500K WordPress sites