CVE-2026-3017 in Smart Post Show Plugin
Zusammenfassung
von VulDB • 10.06.2026
Das WordPress-Plugin „Smart Post Show – Post Grid, Post Carousel & Slider, and List Category Posts“ ist in allen Versionen bis einschließlich 3.0.12 anfällig für PHP Object Injection. Die Schwachstelle entsteht durch die Deserialisierung nicht vertrauenswürdiger Eingaben in der Funktion `import_shortcodes()`. Dies ermöglicht es authentifizierten Angreifern mit Administratorzugriff oder höher, ein PHP-Objekt einzuschleusen. Im anfälligen Softwarebestand ist keine bekannte POP-Kette (PHP Object Injection Chain) vorhanden, was bedeutet, dass diese Schwachstelle keine Auswirkungen hat, sofern kein weiteres Plugin oder Theme mit einer POP-Kette auf der Website installiert ist. Ist jedoch über ein zusätzliches Plugin oder Theme auf dem Zielsystem eine POP-Kette vorhanden, kann dies dem Angreifer ermöglichen, Aktionen wie das Löschen beliebiger Dateien, das Abrufen sensibler Daten oder die Code-Ausführung durchzuführen, abhängig von der vorhandenen POP-Kette.
If you want to get best quality of vulnerability data, you may have to visit VulDB.