← voltar
CVE-2026-10735

ShapedPlugin Multiple Pro Plugins - Backdoor via Compromised Vendor Update Server

CVSS 7.5 HIGHEPSS 0.4%
Vexday Risk Score
41Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 7.5EPSS 0.4%KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
24 jun 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
Multiple Shapedsmart-post-show-pro WordPress plugin before 4.0.2, Real Testimonials Pro WordPress plugin before 3.2.5, Product Slider for WooCommerce Pro WordPress plugin before 3.5.3 Pro smart-post-show-pro WordPress plugin before 4.0.2, Real Testimonials Pro WordPress plugin before 3.2.5, Product Slider for WooCommerce Pro WordPress plugin before 3.5.3 were distributed with malicious code through the vendor's compromised update server, allowing unauthenticated attackers to deploy a second-stage payload that exfiltrates credentials and other sensitive data and grants full control of affected sites.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
Unknown · Product Slider for WooCommerce ProUnknown · Real Testimonials ProUnknown · smart-post-show-pro
PoCs públicas encontradas1
cve_referencewpscan.com/vulnerability/160ee7f7-91b6-4cce-9462-837130621402/não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://wpscan.com/vulnerability/160ee7f7-91b6-4cce-9462-837130621402/