CVE-2026-3017 in Smart Post Show Plugin
Tóm tắt
Bởi VulDB • 15/06/2026
Plugin Smart Post Show – Post Grid, Post Carousel & Slider và List Category Posts cho WordPress dễ bị tấn công PHP Object Injection trong tất cả các phiên bản từ 3.0.12 trở về trước thông qua việc giải mã hóa (deserialization) dữ liệu đầu vào không đáng tin cậy trong hàm import_shortcodes(). Điều này tạo điều kiện cho những kẻ tấn công đã xác thực, có quyền truy cập cấp Administrator hoặc cao hơn, để tiêm một đối tượng PHP. Không có chuỗi POP nào được biết đến tồn tại trong phần mềm dễ bị tổn thương này, nghĩa là lỗ hổng này không gây tác động trừ khi có plugin hoặc theme khác chứa chuỗi POP được cài đặt trên trang web. Nếu chuỗi POP hiện diện thông qua một plugin hoặc theme bổ sung được cài đặt trên hệ thống mục tiêu, nó có thể cho phép kẻ tấn công thực hiện các hành động như xóa tùy ý các tệp tin, truy xuất dữ liệu nhạy cảm hoặc thực thi mã, phụ thuộc vào chuỗi POP cụ thể nào đang tồn tại.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.