CVE-2026-3017 in Smart Post Show Plugin
Resumen
por VulDB • 2026-06-15
El plugin de WordPress Smart Post Show – Post Grid, Post Carousel & Slider y List Category Posts es vulnerable a PHP Object Injection en todas las versiones hasta la 3.0.12 (incluida) debido a la deserialización de datos no confiables en la función import_shortcodes(). Esto permite que atacantes autenticados con acceso de nivel Administrador o superior inyecten un objeto PHP. No se conoce ninguna cadena POP presente en el software vulnerable, lo cual significa que esta vulnerabilidad no tiene impacto a menos que otro plugin o tema que contenga una cadena POP esté instalado en el sitio. Si existe una cadena POP mediante un plugin adicional o tema instalado en el sistema objetivo, podría permitir al atacante realizar acciones como eliminar archivos arbitrarios, recuperar datos sensibles o ejecutar código dependiendo de la cadena POP presente.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.