Die WordPress-Erweiterungen Shapedsmart Post Show Pro (smart-post-show-pro), Real Testimonials Pro und Product Slider for WooCommerce Pro wurden mit eingeschleustem Schadcode ausgeliefert. Ursache war nicht ein herkömmlicher Programmierfehler in den Plugins selbst, sondern eine kompromittierte Lieferkette: Der Update-Server des Anbieters war unter fremder Kontrolle, sodass manipulierte Plugin-Versionen über den regulären Aktualisierungsweg an die Betreiber verteilt wurden. Wer die Erweiterungen einspielte, holte sich damit unbemerkt den Schadcode auf die eigene Website. Dieser dient als erste Stufe und lädt anschließend eine zweite Schadkomponente nach. Über diese können Angreifer ohne vorherige Anmeldung Zugangsdaten und weitere sensible Informationen abgreifen und sich die vollständige Kontrolle über die betroffenen Websites verschaffen. Da der Angriff über den vertrauenswürdigen Update-Kanal erfolgt, greifen die üblichen Schutzannahmen gegenüber offiziellen Aktualisierungen hier gerade nicht.
CVE-2026-10735
7,5
HIGH
CVSS Basis-Score
Beschreibung