CVE-2026-4065

Name of the Vulnerable Software and Affected Versions Smart Slider 3 plugin para WordPress versões até e incluindo 3.5.1.33

Description O plugin Smart Slider 3 para WordPress é suscetível a acesso e modificação não autorizados de dados. Isso se deve à ausência de verificações de capacidade em múltiplas ações do controlador wp ajax smart-slider3. O método display admin ajax() carece de uma chamada para checkForCap(), que requer capacidade unfiltered html. Várias ações do controlador apenas validam o nonce (validateToken()) sem validar permissões. Isso permite que atacantes autenticados com acesso de nível de Contributor ou superior enumerem metadados do slider e criem, modifiquem e excluam registros de armazenamento de imagens aproveitando o nextend nonce exposto nas páginas de edição de postagens.

Recommendations Atualize para uma versão além de 3.5.1.33