CVE-2026-3017 in Smart Post Show Plugininfo

Zusammenfassung

von VulDB • 10.06.2026

Das WordPress-Plugin „Smart Post Show – Post Grid, Post Carousel & Slider, and List Category Posts“ ist in allen Versionen bis einschließlich 3.0.12 anfällig für PHP Object Injection. Die Schwachstelle entsteht durch die Deserialisierung nicht vertrauenswürdiger Eingaben in der Funktion `import_shortcodes()`. Dies ermöglicht es authentifizierten Angreifern mit Administratorzugriff oder höher, ein PHP-Objekt einzuschleusen. Im anfälligen Softwarebestand ist keine bekannte POP-Kette (PHP Object Injection Chain) vorhanden, was bedeutet, dass diese Schwachstelle keine Auswirkungen hat, sofern kein weiteres Plugin oder Theme mit einer POP-Kette auf der Website installiert ist. Ist jedoch über ein zusätzliches Plugin oder Theme auf dem Zielsystem eine POP-Kette vorhanden, kann dies dem Angreifer ermöglichen, Aktionen wie das Löschen beliebiger Dateien, das Abrufen sensibler Daten oder die Code-Ausführung durchzuführen, abhängig von der vorhandenen POP-Kette.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

Wordfence

Reservieren

23.02.2026

Veröffentlichung

14.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357260

CPE

bereit

EPSS

0.00527

KEV

nein

Aktivitäten

very low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!