CVE-2026-12385 in Smart Slider 3 Plugin
要約
〜によって VulDB • 2026年07月14日
WordPress用プラグイン「Smart Slider 3」には、バージョン3.5.1.37を含むすべてのバージョンにおいて、「keyword」パラメータ経由で機密情報の漏洩(Sensitive Information Exposure)の脆弱性が存在します。これにより、寄稿者レベル以上の権限を持つ認証済み攻撃者は、管理者や編集者を問わず、任意のユーザーが作成したプライベート記事、下書き、保留中、ゴミ箱入り、自動保存状態の記事のタイトルおよび本文抜粋を抽出することが可能になります。必要なnonceは/wp-admin/post-new.phpで発行されており、このページにはedit_posts権限を持つ寄稿者レベルのユーザーもアクセスできるため、任意の寄稿者がインジェクションを引き起こすために必要なnonceを取得できます。
Once again VulDB remains the best source for vulnerability data.