CRITICAL✓ PATCH🇬🇧 English

CVE-2026-49777

Backdoor w wtyczce Product Slider Pro for WooCommerce (< 3.5.4)

CVSS 10.0v3.1pub. 2026-06-05upd. 2026-06-08

Podatność w wtyczce Product Slider Pro for WooCommerce pozwala na implantację złośliwego oprogramowania (backdoor) z powodu nieprawidłowej walidacji danych wejściowych. Ocena CVSS 10.0 oznacza maksymalne ryzyko — atakujący nieuwierzytelniony może przejąć pełną kontrolę nad systemem.

Pokaż oryginał (EN)

Improper Validation of Specified Quantity in Input vulnerability in ShapedPlugin, LLC Product Slider Pro for WooCommerce allows Malicious Software Implanted. This issue affects Product Slider Pro for WooCommerce: from n/a before 3.5.4.

🤖 Analiza AI
Jak działa

Błąd klasyfikowany jako CWE-1284 (Improper Validation of Specified Quantity in Input) polega na braku właściwej weryfikacji wartości ilościowych w danych przekazywanych do wtyczki. Wykorzystanie tej luki umożliwia wszczepienie złośliwego kodu (Malicious Software Implanted) bezpośrednio w środowisko WordPress. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, a zasięg ataku przekracza granicę komponentu (Scope: Changed).

Skutki

Atakujący może zaimplantować backdoor na serwerze, co prowadzi do pełnego naruszenia poufności, integralności oraz dostępności danych i systemu. Skutkiem może być trwały nieautoryzowany dostęp do zainfekowanej witryny WordPress.

Mitygacja

Należy niezwłocznie zaktualizować wtyczkę Product Slider Pro for WooCommerce do wersji 3.5.4 lub nowszej. Administratorzy powinni również przeskanować witrynę pod kątem obecności złośliwego kodu lub nieautoryzowanych zmian w plikach, które mogły nastąpić przed instalacją patcha.

Kogo dotyczy

Wtyczka WordPress Product Slider Pro for WooCommerce autorstwa ShapedPlugin, LLC — wersje od n/a do 3.5.3 (przed 3.5.4).

Uwagi

Według referencji Patchstack podatność dotyczy konkretnie wersji 3.5.2 wtyczki i została opisana jako 'backdoor vulnerability'. Strona referencyjna wskazuje na możliwość wszczepienia backdoora w kod wtyczki.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje