CVE-2026-12385 in Smart Slider 3 Plugin
Zusammenfassung
von VulDB • 13.07.2026
Das WordPress-Plugin Smart Slider 3 ist in allen Versionen bis einschließlich 3.5.1.37 anfällig für die Exposition sensibler Informationen über den Parameter 'keyword'. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Level-Zugriff und höher, Titel und vollständige Inhaltsauszüge privater Entwürfe (Drafts), ausstehender Beiträge, im Papierkorb befindlicher Einträge sowie Auto-Entwürfe zu extrahieren, die von beliebigen Benutzern erstellt wurden, einschließlich Administratoren und Editoren. Das erforderliche Nonce wird auf /wp-admin/post-new.php ausgegeben, das Nutzern mit Contributor-Level über die Berechtigung (capability) edit_posts zugänglich ist; dies bedeutet, dass jeder Nutzer mit Contributor-Level den zur Auslösung der Injektion benötigten Nonce erhalten kann.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.