CRITICAL✓ PATCH🇬🇧 English

CVE-2026-34424

Smart Slider 3 Pro – backdoor wstrzyknięty przez skompromitowany system aktualizacji

CVSS 9.3v4.0pub. 2026-04-09upd. 2026-04-15

Smart Slider 3 Pro w wersji 3.5.1.35 dla WordPress i Joomla zawiera wieloetapowy zestaw narzędzi zdalnego dostępu wstrzyknięty przez skompromitowany mechanizm aktualizacji. Podatność umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnego kodu (RCE) bez żadnej interakcji użytkownika.

Pokaż oryginał (EN)

Smart Slider 3 Pro version 3.5.1.35 for WordPress and Joomla contains a multi-stage remote access toolkit injected through a compromised update system that allows unauthenticated attackers to execute arbitrary code and commands. Attackers can trigger pre-authentication remote shell execution via HTTP headers, establish authenticated backdoors accepting arbitrary PHP code or OS commands, create hidden administrator accounts, exfiltrate credentials and access keys, and maintain persistence through multiple injection points including must-use plugins and core file modifications.

🤖 Analiza AI
Jak działa

Złośliwy kod został dostarczony do użytkowników za pośrednictwem skompromitowanego systemu aktualizacji producenta (atak na łańcuch dostaw, supply chain compromise). Atakujący może wywołać zdalne wykonanie powłoki (remote shell) przed uwierzytelnieniem, przekazując odpowiednie wartości w nagłówkach HTTP. Wstrzyknięty toolkit umożliwia również uruchamianie dowolnego kodu PHP lub poleceń systemowych przez uwierzytelniony backdoor, tworzenie ukrytych kont administratora oraz utrwalanie obecności (persistence) poprzez modyfikację plików rdzenia i mechanizmu must-use plugins.

Skutki

Atakujący uzyskuje pełną kontrolę nad serwerem — może wykonywać dowolny kod i polecenia systemowe, wykradać dane uwierzytelniające oraz klucze dostępu, a także trwale utrzymywać nieautoryzowany dostęp do zainfekowanej instalacji.

Mitygacja

Należy natychmiast odinstalować lub zaktualizować wtyczkę Smart Slider 3 Pro do wersji innej niż 3.5.1.35 oraz przeprowadzić pełny audyt instalacji pod kątem obecności backdoorów, ukrytych kont administratora i modyfikacji plików rdzenia. Szczegółowe instrukcje naprawcze dostępne są w oficjalnych poradnikach bezpieczeństwa producenta oraz serwisu Patchstack wskazanych w referencjach.

Kogo dotyczy

Smart Slider 3 Pro w wersji 3.5.1.35 dla WordPress oraz Joomla

Uwagi

Podatność wynika z ataku na łańcuch dostaw (supply chain compromise) — złośliwy kod (CWE-506: Embedded Malicious Code) został wstrzyknięty bezpośrednio przez skompromitowany mechanizm dystrybucji aktualizacji producenta, a nie przez lukę w samym kodzie wtyczki. Mimo że CISA KEV nie odnotowuje aktywnej eksploatacji, charakter podatności (pre-auth RCE, backdoor) i sposób dystrybucji uzasadniają pilne działania naprawcze.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEAuth Bypass
CWE
Referencje