В Smart Slider 3 для WordPress нашли опасную брешь с риском захвата сайта

Екатерина Быстрова 30 Марта 2026 - 16:10

...

В Smart Slider 3 для WordPress нашли опасную брешь с риском захвата сайта

В плагине Smart Slider 3 для WordPress, который используется более чем на 800 тысячах сайтов, обнаружили неприятную уязвимость. Проблема позволяет аутентифицированному пользователю с минимальными правами — например, обычному подписчику — получить доступ к произвольным файлам на сервере.

Речь идёт об уязвимости CVE-2026-3098, которая затрагивает все версии Smart Slider 3 до 3.5.1.33 включительно. Исследователь Дмитрий Игнатьев сообщил о проблеме, после чего её подтвердили специалисты компании Defiant.

На первый взгляд уязвимость выглядит не самой страшной: для её эксплуатации нужна аутентификация. Поэтому ей присвоили средний уровень опасности. Но на практике всё не так безобидно. Если сайт поддерживает регистрацию, подписки или личные кабинеты, то даже пользователь с базовым доступом потенциально может добраться до конфиденциальных данных.

Главная опасность в том, что через эту брешь можно читать произвольные файлы сервера и добавлять их в экспортный архив. Под ударом оказывается, например, файл wp-config.php — один из самых важных для WordPress. В нём хранятся учётные данные базы данных, криптографические ключи, а это уже вполне может открыть дорогу к краже данных и даже к полному захвату сайта.

В AJAX-действиях экспорта у плагина не хватало проверок прав доступа. Иными словами, функция, которая должна была быть доступна далеко не всем, в уязвимых версиях могла вызываться любым пользователем. Дополнительной защиты nonce здесь оказалось недостаточно, потому что получить его может и обычный вошедший в систему юзер.

Патч вышел 24 марта вместе с версией Smart Slider 3 3.5.1.34. Но есть нюанс: несмотря на выход обновления, проблема всё ещё остаётся массовой. По статистике WordPress.org, за последнюю неделю плагин скачали более 303 тысяч раз, однако исследователи полагают, что как минимум 500 тысяч сайтов до сих пор работают на уязвимых версиях.

На момент публикации данных об активной эксплуатации этой уязвимости ещё не было. Но в таких случаях окно спокойствия обычно бывает недолгим: как только информация о баге становится публичной, злоумышленники начинают быстро проверять, какие сайты не успели обновиться.

Так что владельцам сайтов на WordPress, использующим Smart Slider 3, тянуть тут явно не стоит. Если плагин ещё не обновлён до версии 3.5.1.34, лучше сделать это как можно быстрее.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 25 Мая 2026 - 18:59

UserGate DCFW Корпорации Сетевая безопасность Межсетевой экран Межсетевые экраны нового поколения (NGFW) UserGate

UserGate выпустил первую LTS-версию своего NGFW

UserGate выпустил первую LTS-версию межсетевого экрана нового поколения UserGate NGFW. Релиз uNGFW 7.5 LTS стал частью обновлённого подхода компании к выпуску версий и контролю качества, который начали менять в 2025 году.

LTS означает Long Term Support — версию с длительной поддержкой. После дополнительного согласования с заказчиками релизу планируют присвоить статус General Deployment. После этого его будут рекомендовать для установки всем клиентам.

Одним из главных изменений в uNGFW 7.5 LTS стал переработанный кластер отказоустойчивости. В режиме Active-Passive теперь можно использовать виртуальные MAC-адреса, что должно упростить сетевую интеграцию и сделать работу кластера стабильнее. Для облачных развертываний добавили отправку служебного трафика в режиме Unicast, в том числе с учётом работы в Yandex Cloud.

Также появились новые инструменты мониторинга. Например, система может проверять доступность сетевых интерфейсов и отслеживать отказ одного из соединений bond-интерфейса на активном узле. Администратор при этом сам определяет, какие интерфейсы считать критичными. Управление кластером вынесли в отдельный раздел веб-интерфейса.

Второй крупный блок изменений касается VPN. В UserGate говорят о росте производительности — на некоторых платформах до двух раз. Также добавлены аутентификация по предварительно согласованному ключу для IKEv2 и поддержка анонсов нескольких сетей в подключениях Site-to-Site на том же протоколе.

Кроме того, релиз поддерживает UserGate Client 7.5 LTS для защищённого удалённого доступа и NAC, DTLS VPN, а интерфейс настройки VPN-подключений переработали.

Ещё одно заметное изменение — автоматический сбор обезличенной телеметрии, но только с согласия заказчика. Она должна помочь разработчикам понимать, какие функции используются чаще, где возникают ошибки и какие сценарии стоит дорабатывать в первую очередь.

В UserGate отмечают, что релиз тестировали участники программы раннего доступа uTechmates. Версия уже включена в сертификат ФСТЭК, а вариант uNGFW 7.5 LTS с ГОСТ VPN проходит сертификацию в ФСБ России.

Параллельно компания выпустила LTS-версии других продуктов экосистемы: UserGate Client 7.5 LTS, UserGate Log Analyzer 7.5 LTS и UserGate Management Center 7.5 LTS. Все они уже доступны для скачивания в личном кабинете UserGate.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!