Дослідники виявили проблему в популярному плагіні Smart Slider 3 для WordPress. Вразливість, відома як CVE-2026-3098, стосується всіх версій до 3.5.1.33 включно. Проблема виникає через відсутність перевірок прав доступу в AJAX-функціях експорту. Функція actionExportAll не перевіряє тип файлу та його джерело, тому автентифікований користувач навіть з рівнем звичайного підписника може змусити плагін створити архів і додати до нього будь-які файли з сервера. Nonce-захист не блокує атаку, оскільки автентифіковані користувачі можуть його отримати. Серед файлів, які можна вичитати, — wp-config.php з даними бази даних, секретними ключами та солями. Плагін встановлений на понад 800 тисячах сайтів WordPress, з яких щонайменше 500 тисяч працюють на вразливих версіях. Вразливість оцінили як середньої тяжкості через необхідність автентифікації. Станом на момент публікації активної експлуатації не зафіксовано.

Компанія Wordfence отримала proof-of-concept 23 лютого 2026 року, передала деталі розробнику Nextendweb, який випустив виправлення у версії 3.5.1.34 24 березня. Функція не містить жодних перевірок типу чи джерела файлу, тому до архіву можна додавати файли .php та інші конфіденційні дані. На момент публікації жодних інших наслідків не повідомлялось.