Grave vulnerabilidad en plugins de ShapedPlugin expone a usuarios de WordPress
Publicado el
Compromiso de Plugins de ShapedPlugin
Un reciente ataque de cadena de suministro ha puesto en riesgo a múltiples plugins de WordPress de ShapedPlugin, tras la manipulación de los canales de distribución oficiales por parte de actores maliciosos. Según un análisis de Wordfence, los atacantes lograron insertar código backdoor en las versiones Pro de los plugins, que fueron distribuidas a través de sus canales de actualización licenciados.
Plugins Afectados
Los siguientes plugins se han visto comprometidos: - Product Slider Pro para WooCommerce (versiones anteriores a 3.5.4) - Real Testimonials Pro (versión 3.2.5) - Smart Post Show Pro (versiones anteriores a 4.0.2)
Es importante señalar que solo las versiones Pro de los plugins distribuidos a través de la infraestructura de Easy Digital Downloads (EDD) de ShapedPlugin han sido afectadas. Las versiones gratuitas disponibles en WordPress.org no presentan este problema.
Detalles del Ataque
El ataque ha sido identificado con el CVE-2026-49777 para el plugin Product Slider Pro, con un CVSS de 10.0, lo que indica una severidad máxima. El incidente completo se ha catalogado con el CVE CVE-2026-10735 (CVSS: 9.8). Las versiones comprometidas incluyen un cargador que se activa en cada página de administración, el cual descarga un payload desde un servidor remoto (194.76.217[.]28:2871), lo instala y lo activa como un plugin falso.
Una vez activado, el malware reporta el dominio de la víctima al servidor y se elimina a sí mismo para ocultar sus rastros, complicando las labores de respuesta ante incidentes. Este plugin falso se oculta de la lista de plugins en la administración de WordPress y tiene la capacidad de capturar credenciales en texto plano, así como códigos de autenticación de dos factores (2FA).
Métodos de Persistencia
El malware establece múltiples métodos de persistencia que permiten la escritura arbitraria de archivos a través de un REST endpoint personalizado, al recibir un token de autenticación específico. Además, se utiliza un archivo PHP denominado "install-persistent.php" para extraer información sensible, incluyendo: - Contenido completo de wp-config.php, que incluye credenciales de base de datos y claves de autenticación - Todas las cuentas de administrador con sus fechas de registro - Credenciales de plugins de correo de WP Mail SMTP, Post SMTP, y Easy WP SMTP - Datos de pedidos de WooCommerce de los últimos tres meses, desglosados por método de pago
Una vez que se obtiene esta información, el archivo se elimina.
Consecuencias y Recomendaciones
Este ataque es especialmente preocupante porque expone a los propietarios de sitios que han adquirido licencias legítimas e instalado actualizaciones directamente del sistema de actualización oficial del proveedor. Tras ser informados del incidente, ShapedPlugin ha confirmado el ataque y está revisando sus procesos de distribución y lanzamiento para garantizar la integridad de sus productos en el futuro. Se espera que se publiquen nuevas versiones de los plugins afectados tras revisiones de seguridad exhaustivas.
Los propietarios de sitios que hayan instalado las versiones maliciosas deben: - Restablecer todas las contraseñas - Revocar y regenerar secretos de 2FA para todos los usuarios - Revisar las cuentas de administrador en busca de adiciones no autorizadas - Comprobar las configuraciones de los plugins de correo para detectar credenciales SMTP modificadas.
La rápida acción de los administradores es crucial para mitigar los efectos de este grave ataque y proteger la información sensible de sus sitios.