CVE-2026-12385 in Smart Slider 3 Plugininfo

Zusammenfassung

von VulDB • 13.07.2026

Das WordPress-Plugin Smart Slider 3 ist in allen Versionen bis einschließlich 3.5.1.37 anfällig für die Exposition sensibler Informationen über den Parameter 'keyword'. Dies ermöglicht es authentifizierten Angreifern mit Contributor-Level-Zugriff und höher, Titel und vollständige Inhaltsauszüge privater Entwürfe (Drafts), ausstehender Beiträge, im Papierkorb befindlicher Einträge sowie Auto-Entwürfe zu extrahieren, die von beliebigen Benutzern erstellt wurden, einschließlich Administratoren und Editoren. Das erforderliche Nonce wird auf /wp-admin/post-new.php ausgegeben, das Nutzern mit Contributor-Level über die Berechtigung (capability) edit_posts zugänglich ist; dies bedeutet, dass jeder Nutzer mit Contributor-Level den zur Auslösung der Injektion benötigten Nonce erhalten kann.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

Wordfence

Reservieren

16.06.2026

Veröffentlichung

13.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378155

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!