CVE-2026-10735

Nome do Software Vulnerável e Versões Afetadas Real Testimonials Pro (versões afetadas não especificadas) Product Slider Pro for WooCommerce (versões afetadas não especificadas) Smart Post Show Pro (versões afetadas não especificadas)

Description Ocorreu um comprometimento da cadeia de suprimentos onde invasores infiltraram-se no pipeline de compilação e distribuição da ShapedPlugin. Isso permitiu a injeção de um backdoor de vários estágios em versões Pro de plugins distribuídas através de canais oficiais de atualização licenciados. Atacantes não autenticados podem obter acesso total de backdoor aos sites afetados. O malware facilita o roubo de credenciais, vazamentos de banco de dados e a exfiltração de segredos de 2FA (sementes TOTP) de plugins como WP 2FA, Wordfence Login Security, Really Simple SSL e Two-Factor, ignorando efetivamente a autenticação de múltiplos fatores.

Detalhes técnicos incluem um carregador de estágio 1 em src/Includes/LicenseLoader.php que é executado no admin init e se comunica com um servidor de comando e controle. Um payload de estágio 2 é depositado em wp-content/plugins/woocommerce-subscription/, que se oculta usando o filtro all plugins. Este payload inclui um backdoor de API REST no endpoint '/wp-json/wc/v3/settings/apply', um webshell de parâmetro de URL e um bypass de login utilizando um hash MD5 fixo e268c35a06d85f672e70c9beecb4e5d1.

Recommendations Atualize os plugins afetados imediatamente para as versões corrigidas mais recentes. Como mitigação temporária, restrinja o acesso ao endpoint '/wp-json/wc/v3/settings/apply' e monitore o arquivo src/Includes/LicenseLoader.php em busca de atividades não autorizadas.