Neste artigo do blog Dolutech, trazemos um alerta importante para todos os administradores de sites WordPress. Uma vulnerabilidade de alta gravidade foi divulgada no Smart Slider 3, um dos plugins mais populares da plataforma, utilizado para criação de sliders, carrosséis de imagens e elementos visuais interativos. Com mais de 800 mil instalações ativas em todo o mundo, a falha coloca uma quantidade massiva de sites em risco de exposição de dados sensíveis e tomada completa do servidor.
A vulnerabilidade foi registrada como CVE-2026-3098 no National Vulnerability Database (NVD) do NIST, publicada em 27 de março de 2026 e atualizada em 30 de março de 2026 com status “Awaiting Analysis”. A falha recebeu um CVSS v3.1 Base Score de 6.5 (severidade média) com o vetor CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N, e foi classificada sob o CWE-862 (Missing Authorization). Apesar da classificação de severidade média pelo CVSS, a Dolutech considera o impacto prático desta vulnerabilidade extremamente elevado, como detalharemos ao longo deste artigo.
O que é o Smart Slider 3
O Smart Slider 3, desenvolvido pela Nextendweb, é um dos plugins de criação de sliders mais utilizados no ecossistema WordPress. Oferece um editor visual drag-and-drop intuitivo, uma biblioteca rica de templates pré-construídos e suporte a diversos tipos de conteúdo, incluindo imagens, vídeos, textos animados e conteúdo dinâmico. A versão gratuita está disponível no repositório oficial do WordPress.org e a versão Pro oferece recursos adicionais como animações avançadas, sliders em tela cheia e integração com fontes de dados dinâmicas. São mais de 800 mil sites ativos utilizando o plugin, abrangendo desde blogs pessoais até sites corporativos, lojas virtuais e portais institucionais.
Detalhes técnicos da vulnerabilidade
A CVE-2026-3098 é classificada como uma vulnerabilidade de Arbitrary File Read (leitura arbitrária de arquivos) autenticada. A falha reside especificamente na função actionExportAll() dentro da classe ControllerSliders, que faz parte do mecanismo de exportação do plugin.
Em um fluxo normal de operação, o processo de exportação de sliders utiliza múltiplas requisições AJAX para compilar e fazer download de um arquivo ZIP contendo imagens e configurações do slider. O problema é que, embora uma dessas ações críticas esteja protegida por um nonce de segurança, nas versões vulneráveis do plugin os atacantes autenticados conseguem obter esse token facilmente. Mais criticamente, as funções AJAX envolvidas não possuem verificações adequadas de capacidade (capability checks) que validem a role do usuário antes de executar o código. Isso permite que qualquer usuário autenticado, incluindo aqueles com acesso de nível Subscriber (o nível mais básico de permissão no WordPress), acione a ação de exportação sem necessidade de privilégios administrativos.
Conforme explicado por István Márton, pesquisador de vulnerabilidades da Defiant (empresa desenvolvedora do Wordfence), a função create() responsável pela construção do arquivo ZIP de exportação não valida a origem nem o tipo dos arquivos sendo adicionados ao arquivo. O sistema não restringe as exportações exclusivamente a arquivos de mídia seguros como imagens ou vídeos, o que significa que arquivos .php podem ser exportados, contornando completamente as restrições de segurança do WordPress.
Na prática, um atacante com uma simples conta de Subscriber pode explorar esta falha para ler qualquer arquivo arbitrário no servidor. O alvo mais crítico e imediato é o arquivo wp-config.php, que contém as credenciais de acesso ao banco de dados (host, nome do banco, usuário e senha), as chaves criptográficas e salts utilizados para proteger sessões de usuários, o prefixo das tabelas do banco de dados e configurações de debug e outras variáveis sensíveis do ambiente.
Com acesso a essas informações, um atacante pode contornar a autenticação, escalar privilégios e assumir o controle completo do servidor web afetado. É por isso que, apesar do CVSS classificar a vulnerabilidade como “média” devido à necessidade de autenticação, nós da Dolutech consideramos o impacto real extremamente grave, especialmente para os milhares de sites que permitem registro aberto de usuários, funcionalidade comum em sites com áreas de membros, fóruns, lojas virtuais e plataformas de conteúdo.
Cronologia da descoberta e correção
O pesquisador de segurança Dmitrii Ignatyev descobriu a falha e a reportou de forma responsável por meio do Wordfence Bug Bounty Program em 23 de fevereiro de 2026, recebendo uma recompensa de US$ 2.208. Os pesquisadores do Wordfence validaram o proof-of-concept e em 24 de fevereiro de 2026 disponibilizaram uma regra de firewall protetiva para os usuários das versões Premium, Care e Response do Wordfence, bloqueando tentativas de exploração. Os sites que utilizam a versão gratuita do Wordfence receberam a mesma proteção 30 dias depois, em 26 de março de 2026.
A Nextendweb, desenvolvedora do Smart Slider 3, confirmou o recebimento do relatório em 2 de março de 2026 e publicou a correção em 24 de março de 2026 com o lançamento da versão 3.5.1.34 do plugin.
A CVE-2026-3098 foi publicada no NVD do NIST em 27 de março de 2026 e consta nos registros da Tenable, VulDB, Wordfence Intelligence e Akaoma, entre outros bancos de dados de vulnerabilidades.
Situação atual: 500 mil sites ainda vulneráveis
De acordo com as estatísticas do WordPress.org, o plugin foi baixado 303.428 vezes na última semana desde o lançamento do patch. Isso significa que pelo menos 500 mil sites WordPress ainda estão executando uma versão vulnerável do Smart Slider 3 e permanecem expostos a ataques. Até o momento da publicação deste artigo, a CVE-2026-3098 não está sinalizada como ativamente explorada, mas considerando a simplicidade do ataque e a publicação dos detalhes técnicos, a Dolutech considera que a exploração em massa é uma questão de tempo.
Informações do NVD e bases de vulnerabilidades
A vulnerabilidade está catalogada nas seguintes bases de dados e referências técnicas. No National Vulnerability Database (NVD) do NIST, acessível pelo endereço nvd.nist.gov/vuln/detail/CVE-2026-3098, a entrada foi publicada em 27 de março de 2026 com última atualização em 30 de março de 2026 e status “Awaiting Analysis”. O CVSS v3.1 Base Score é 6.5 (Medium), o CVSS v2 Base Score é 6.8 (Medium), o vetor CVSS v3.1 é AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N, a classificação CWE é CWE-862 (Missing Authorization) e o EPSS é 0.00027. A fonte CVSS primária é security@wordfence.com.
No Wordfence Threat Intelligence, a vulnerabilidade está catalogada com o identificador e2ce9caf-2ca2-401c-acc7-76be2fd72f36, disponível no endereço wordfence.com/threat-intel/vulnerabilities. Na Tenable, o registro está disponível em tenable.com/cve/CVE-2026-3098. Na VulDB, o registro está sob o identificador 353792 em vuldb.com. O changeset da correção pode ser verificado diretamente no repositório do plugin em plugins.trac.wordpress.org/changeset/3489689/smart-slider-3.
Versões afetadas e correção
Todas as versões do Smart Slider 3 até a versão 3.5.1.33 (inclusive) estão vulneráveis. A correção está disponível na versão 3.5.1.34, lançada em 24 de março de 2026. A atualização deve ser aplicada imediatamente por todos os administradores de sites que utilizam o plugin.
Recomendações da Dolutech
Nós da Dolutech recomendamos que todos os administradores de sites WordPress que utilizam o Smart Slider 3 tomem as seguintes ações imediatas.
Atualize o Smart Slider 3 para a versão 3.5.1.34 ou superior agora mesmo. Acesse o painel do WordPress, navegue até Plugins, localize o Smart Slider 3 e clique em Atualizar. Se a atualização automática não estiver disponível, baixe a versão mais recente diretamente do repositório oficial do WordPress.org.
Verifique se o seu site permite registro aberto de usuários. Se sim, considere que qualquer conta criada antes da atualização pode ter sido utilizada para explorar a vulnerabilidade. Audite os registros de novos usuários criados nas últimas semanas e revogue acessos suspeitos.
Rotacione as credenciais do banco de dados. Se houver qualquer suspeita de que a vulnerabilidade foi explorada antes da atualização, altere imediatamente a senha do banco de dados no painel do seu provedor de hospedagem e atualize o arquivo wp-config.php com as novas credenciais. Regenere também as chaves de segurança e salts do WordPress, utilizando o gerador oficial disponível em api.wordpress.org/secret-key/1.1/salt.
Implemente um Web Application Firewall (WAF). Soluções como Wordfence (que já possui regra específica para esta CVE), Sucuri ou Cloudflare WAF adicionam uma camada de proteção contra tentativas de exploração, mesmo antes da aplicação do patch.
Monitore logs de acesso do servidor buscando requisições AJAX anômalas relacionadas a funções de exportação do Smart Slider 3, especialmente oriundas de usuários com role de Subscriber.
Considere desabilitar o registro aberto de usuários caso não seja estritamente necessário para o funcionamento do site. Esta é uma medida preventiva que reduz significativamente a superfície de ataque para vulnerabilidades que requerem autenticação de nível baixo.
Contexto: WordPress e a superfície de ataque dos plugins
O WordPress é utilizado por aproximadamente 43% de todos os sites da internet, e seu ecossistema de plugins é simultaneamente sua maior força e sua maior superfície de ataque. Vulnerabilidades em plugins populares são rotineiramente exploradas por campanhas automatizadas que escaneiam milhões de sites em busca de versões desatualizadas. Nós da Dolutech já alertamos anteriormente sobre a importância de manter todos os plugins e temas atualizados, utilizar soluções de WAF e seguir as melhores práticas de hardening do WordPress.
A CVE-2026-3098 é mais um lembrete de que a segurança de um site WordPress depende diretamente da disciplina de atualização de seus componentes. Um único plugin desatualizado pode comprometer todo o ambiente.
Considerações finais
A vulnerabilidade CVE-2026-3098 no Smart Slider 3 afeta mais de 800 mil sites WordPress e permite que atacantes com acesso mínimo leiam arquivos arbitrários do servidor, incluindo o wp-config.php com credenciais de banco de dados e chaves criptográficas. A correção já está disponível na versão 3.5.1.34 e deve ser aplicada imediatamente. Com pelo menos 500 mil sites ainda vulneráveis segundo as estatísticas de download do WordPress.org, a janela de exposição é enorme. Atualize agora. Não espere.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
