Ataque à cadeia de suprimentos compromete plugins do WordPress
Um ataque à cadeia de suprimentos comprometeu múltiplos plugins do WordPress da ShapedPlugin, permitindo que invasores inserissem código malicioso nas versões Pro dos plugins. O ataque foi identificado pela empresa de segurança Wordfence, que revelou que os atacantes conseguiram manipular o canal de distribuição oficial, injetando um loader que se ativa em cada página de administração do WordPress. As versões afetadas incluem o Product Slider Pro para WooCommerce (antes da versão 3.5.4), Real Testimonials Pro (versão 3.2.5) e Smart Post Show Pro (antes da versão 4.0.2). O CVE-2026-49777 foi atribuído ao Product Slider Pro, com uma pontuação CVSS de 10.0, indicando severidade máxima. O malware é capaz de capturar credenciais e códigos de autenticação de dois fatores, além de estabelecer métodos de persistência que permitem a execução de comandos remotamente. A ShapedPlugin confirmou o incidente e está revisando seus processos de distribuição. Os proprietários de sites afetados são aconselhados a redefinir senhas e revisar contas administrativas. Este incidente destaca a vulnerabilidade de sistemas que dependem de canais de distribuição para atualizações seguras.