CVE-2026-3017

Name of the Vulnerable Software and Affected Versions The Smart Post Show – Post Grid, Post Carousel & Slider, and List Category Posts versões anteriores a 3.0.13

Description O plugin é suscetível a PHP Object Injection devido à desserialização de entradas não confiáveis na função import shortcodes(). Isso permite que atacantes autenticados com acesso de nível Administrador ou superior injetem um Objeto PHP. Este problema requer que uma POP chain (uma sequência de gadgets usada para atingir um objetivo específico durante a desserialização) esteja presente em outro plugin ou tema instalado para ter impacto. Se tal cadeia existir, poderá permitir a exclusão de arquivos arbitrários, a recuperação de dados sensíveis ou a execução de código.

Recommendations Atualize para uma versão posterior a 3.0.12.