Freitag · 03.07.2026 Ausgabe 3219 RSS
Nachrichten Cybersicherheit täglich
CVE-2026-10735

7,5 HIGH CVSS Basis-Score
Beschreibung

Die WordPress-Erweiterungen Shapedsmart Post Show Pro (smart-post-show-pro), Real Testimonials Pro und Product Slider for WooCommerce Pro wurden mit eingeschleustem Schadcode ausgeliefert. Ursache war nicht ein herkömmlicher Programmierfehler in den Plugins selbst, sondern eine kompromittierte Lieferkette: Der Update-Server des Anbieters war unter fremder Kontrolle, sodass manipulierte Plugin-Versionen über den regulären Aktualisierungsweg an die Betreiber verteilt wurden. Wer die Erweiterungen einspielte, holte sich damit unbemerkt den Schadcode auf die eigene Website. Dieser dient als erste Stufe und lädt anschließend eine zweite Schadkomponente nach. Über diese können Angreifer ohne vorherige Anmeldung Zugangsdaten und weitere sensible Informationen abgreifen und sich die vollständige Kontrolle über die betroffenen Websites verschaffen. Da der Angriff über den vertrauenswürdigen Update-Kanal erfolgt, greifen die üblichen Schutzannahmen gegenüber offiziellen Aktualisierungen hier gerade nicht.

Erwähnt in

Artikel und Wochenreports, die diese Schwachstelle behandeln