CVE-2026-3098 - Smart Slider 3 - LFI (Subscriber+) 漏洞概述 该漏洞影响 Smart Slider 3 插件,允许经过身份验证的低权限用户(如 Subscriber)利用正常的滑块和图像管理流程进行任意本地文件读取(LFI)。攻击者可以将服务器文件内容打包到导出的 Smart Slider 存档中,从而下载并离线检查配置文件、凭据和应用程序密钥。 影响范围 插件版本: Smart Slider 3 <= 3.5.133 活跃安装: 800,000+ 发布时间: March 26, 2026 研究人员: Dmitrii Ignatyev POC 代码 修复方案 核心修复: 修复必须打破链条中的多个点,因为链条中的成功取决于多个控制是否缺失或不一致。 具体建议: - 每个 Smart Slider 3 操作在改变状态时都必须强制执行严格的权限检查。 - 这些检查必须与插件权限模型保持一致。 - 路径不应基于 的存在,而应验证图像路径不能是绝对文件系统路径,并且只应接受媒体库引用或验证的URL。 - 导出例程不应读取来自存储数据的任意文件路径,除非它是附件ID,并解析为文件内部上传。 - 控制器路由不应允许回退行为,该行为读取受控控制器或操作,并且导出端点应要求严格的权限和经过验证的服务器端 nonce。 - 所有者应减少暴露,并轮换密钥,如果有任何可疑的文件披露迹象。