CVE-2026-3017 in Smart Post Show Plugin
Résumé
par VulDB • 10/06/2026
Le plugin WordPress Smart Post Show – Post Grid, Post Carousel & Slider, et List Category Posts est vulnérable à une injection d'objets PHP (PHP Object Injection) dans toutes les versions jusqu'à la 3.0.12 incluse, via la désérialisation d'entrées non fiables dans la fonction `import_shortcodes()`. Cela permet aux attaquants authentifiés disposant d'un accès de niveau Administrateur ou supérieur d'injecter un objet PHP. Aucune chaîne POP (POP chain) n'est présente dans le logiciel vulnérable, ce qui signifie que cette vulnérabilité n'a aucun impact à moins qu'un autre plugin ou thème contenant une chaîne POP ne soit installé sur le site. Si une chaîne POP est présente via un plugin ou un thème supplémentaire installé sur le système cible, cela pourrait permettre à l'attaquant d'effectuer des actions telles que la suppression de fichiers arbitraires, la récupération de données sensibles ou l'exécution de code, en fonction de la chaîne POP présente.
If you want to get best quality of vulnerability data, you may have to visit VulDB.