CVE-2026-10735

Nome do Software Vulnerável e Versões Afetadas Product Slider Pro (versões afetadas não especificadas) Real Testimonials Pro (versões afetadas não especificadas) Smart Post Show Pro (versões afetadas não especificadas)

Description Ocorreu um comprometimento da cadeia de suprimentos onde invasores infiltraram-se no pipeline de compilação e distribuição da ShapedPlugin, injetando um backdoor de vários estágios em versões Pro de plugins WordPress entregues por meio de canais oficiais de atualização licenciados. O ataque envolve um carregador de estágio 1 em src/Includes/LicenseLoader.php que é executado em admin init, comunica-se com um servidor de comando e controle e baixa um payload. O payload de estágio 2 é um plugin falso instalado em wp-content/plugins/woocommerce-subscription/ que se oculta da lista de administração usando o filtro all plugins. Este payload inclui o Tiny File Manager 2.6, Adminer 5.2.1, um backdoor de API REST no endpoint '/wp-json/wc/v3/settings/apply', um webshell de parâmetro de URL e um bypass de login utilizando um hash MD5 fixo e268c35a06d85f672e70c9beecb4e5d1. Além disso, o malware exfiltra sementes TOTP (Time-based One-Time Password) de vários plugins de 2FA para generate[.]2faplugin[.]org, permitindo que invasores ignorem a autenticação de múltiplos fatores mesmo após a redefinição de senhas.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.