漏洞概述 标题: ShapedPlugin Multiple Pro Plugins - Backdoor via Compromised Vendor Update Server 描述: 多个ShapedPlugin Pro插件通过供应商的 compromised 更新服务器分发了恶意代码,允许未授权的攻击者部署第二阶段有效载荷,以窃取凭证和其他敏感数据,并完全控制受影响的网站。 确认的恶意构建: Smart Post Show Pro 4.0.1 Product Slider for WooCommerce Pro 3.5.2 Real Testimonials Pro 3.2.4 指标: C2 / dropper host: 194.76.217.28:2871 Beacon: POST http://194.76.217.28:2871/api.php Dropper URL: http://194.76.217.28:2871/files/woocommerce-subscription.zip Persistent stage filename: wp-content/plugins/woocommerce-subscription/install-persistent.php Malicious file in primary build: includes/class-smart-show-pro-installer.php 影响范围 受影响的插件: smart-post-show-pro (修复版本: 4.0.2) testimonial-pro (修复版本: 3.2.5) woo-product-slider-pro (修复版本: 3.5.3) 修复方案 smart-post-show-pro: 升级到版本 4.0.2 testimonial-pro: 升级到版本 3.2.5 woo-product-slider-pro: 升级到版本 3.5.3 其他信息 CVE: CVE-2026-10735 原始研究员: Mike Gozdiskowski 提交者: Mike Gozdiskowski 验证状态: Yes WPVDB ID: 160ee717-91b6-4cce-9462-837130621402 时间线 公开发布日期: 2026-06-03 添加日期: 2026-06-03 最后更新日期: 2026-06-03 其他相关漏洞 Smart Slider 3 Pro 3.5.1.35 - Compromised Plugin (2026-04-07) Beefbind - BeEF RCE Plugin (2014-07-29) WowShipping Pro 1.0.6 - Injected Backdoor (2026-04-17) WP No External Links 4.2.1-4.2.2 - Backdoored (2017-12-28) Enable CORS < 2.0.4 - Backdoor (2026-06-18) POC代码 页面中未提供具体的POC代码或利用代码。