**Smart Slider 3**, un plugin WordPress populaire utilisé sur plus de 800 000 sites web pour créer des sliders d'images et des carrousels de contenu, est vulnérable à une faille de lecture de fichiers. Cette faille permet même aux utilisateurs de niveau abonné d'accéder à des fichiers arbitraires sur le serveur. Un attaquant authentifié pourrait exploiter cette vulnérabilité pour accéder à des fichiers sensibles tels que `wp-config.php`, qui contient les identifiants de base de données, les clés et les données de salage. Cet accès pourrait ensuite entraîner le vol de données utilisateur et la prise de contrôle complète du site. ### Détails de la vulnérabilité La vulnérabilité, identifiée comme **CVE-2026-3098**, a été découverte par le chercheur Dmitrii Ignatyev et affecte toutes les versions du plugin **Smart Slider 3** jusqu'à la version 3.5.1.33 incluse. Elle a reçu un score de gravité moyen en raison de la nécessité d'une authentification, mais l'utilisation généralisée des fonctionnalités d'adhésion et d'abonnement sur les sites WordPress augmente considérablement l'impact potentiel. La cause première de la vulnérabilité réside dans l'absence de vérifications de capacités au sein des actions d'exportation AJAX du plugin. Cela permet à tout utilisateur authentifié, y compris les abonnés, d'invoquer ces actions. Selon les chercheurs de **Defiant**, les développeurs du plugin de sécurité **Wordfence**, la fonction `actionExportAll` manque de validation suffisante du type de fichier et de la source. Cela permet aux attaquants de lire des fichiers serveur arbitraires et de les ajouter à l'archive d'exportation. La présence d'un nonce n'offre aucune protection, car il peut être facilement obtenu par les utilisateurs authentifiés. « Malheureusement, cette fonction n'inclut aucune vérification du type de fichier ou de la source du fichier dans la version vulnérable. Cela signifie que non seulement les fichiers image ou vidéo peuvent être exportés, mais aussi les fichiers .php », déclare István Márton, un contractant en recherche de vulnérabilités chez **Defiant**. « Cela rend finalement possible pour les attaquants authentifiés ayant un accès minimal, comme les abonnés, de lire n'importe quel fichier arbitraire sur le serveur, y compris le fichier wp-config.php du site, qui contient les identifiants de la base de données ainsi que les clés et les sels pour la sécurité cryptographique. » ### Plus de 500 000 sites restent vulnérables Ignatyev a signalé la vulnérabilité à **Wordfence** le 23 février. **Wordfence** a validé la preuve de concept de l'exploit et a ensuite informé **Nextendweb**, le développeur de **Smart Slider 3**. **Nextendweb** a accusé réception du rapport le 2 mars et a publié un correctif avec la version 3.5.1.34 le 24 mars. Selon les statistiques de WordPress.org, le plugin a été téléchargé plus de 300 000 fois la semaine dernière. Cela indique qu'au moins 500 000 sites WordPress exécutent encore une version vulnérable du plugin **Smart Slider 3** et risquent d'être exploités. Bien que **CVE-2026-3098** ne soit pas actuellement signalé comme activement exploité, ce statut pourrait changer rapidement. Il est fortement conseillé aux propriétaires et administrateurs de sites web de mettre à jour immédiatement vers la dernière version du plugin **Smart Slider 3**.  ## [Le pentesting automatisé ne couvre qu'une surface sur 6.](https://hubs.li/Q048zztN0) Le pentesting automatisé prouve que le chemin existe. BAS prouve si vos contrôles l'arrêtent. La plupart des équipes n'utilisent pas l'un sans l'autre. Ce livre blanc cartographie six surfaces de validation, montre où la couverture prend fin et fournit aux praticiens trois questions de diagnostic pour l'évaluation de tout outil.