Falha em plugin WordPress expõe 800 mil sites

Uma vulnerabilidade no plugin Smart Slider 3, utilizado em mais de 800 mil sites WordPress, está a expor dados sensíveis e pode permitir o controlo total de servidores afetados.

A falha, identificada como CVE-2026-3098, permite a leitura arbitrária de ficheiros por utilizadores autenticados com permissões mínimas, como contas de subscritor. O problema reside na funcionalidade de exportação do plugin, que não valida corretamente os privilégios dos utilizadores.

Na prática, um atacante pode explorar pedidos AJAX para aceder e descarregar ficheiros do servidor, incluindo conteúdos críticos que deveriam estar protegidos.

O risco é particularmente elevado em sites com registo aberto de utilizadores, onde qualquer conta básica pode ser utilizada para desencadear o ataque.

A vulnerabilidade permite aceder a ficheiros como o wp-config.php, que contém credenciais da base de dados e chaves criptográficas. Com esta informação, um atacante pode contornar mecanismos de autenticação, escalar privilégios e assumir o controlo do sistema.

O problema foi identificado pelo investigador Dmitrii Ignatyev e reportado através do programa Wordfence Bug Bounty. Após a divulgação, a Wordfence disponibilizou regras de proteção para utilizadores pagos e, posteriormente, para a versão gratuita.

A empresa Nextend, responsável pelo plugin, já corrigiu a falha com o lançamento da versão 3.5.1.34.

Os administradores de sites WordPress são aconselhados a atualizar imediatamente o plugin e a rever permissões de utilizadores, especialmente em ambientes com registo público, para mitigar o risco de exploração.