Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 17.06.2026 · 4 min Lesezeit

WordPress-Supply-Chain-Angriff: ShapePlugin-Pro-Plugins mit Backdoor über offizielle Update-Server ausgeliefert

Der WordPress-Plugin-Hersteller ShapePlugin ist Opfer eines Supply-Chain-Angriffs geworden. Angreifer kompromittierten die Build- und Distribution-Pipeline und injizierten einen Backdoor-Loader in Pro-Plugin-Releases, die über das offizielle Lizenz-Update-System verteilt wurden. Betroffen sind Real Testimonials Pro, Product Slider Pro und Smart Post Show Pro.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
IT News Grafik zu einem WordPress Supply Chain Angriff, bei dem kompromittierte ShapePlugin Pro Plugins über offizielle Update Server mit einer Backdoor ausgeliefert werden. Zu sehen sind ein Update Server, Plugin Module, ein Warnsignal und eine Backdoor

Am 11. Juni 2026 hat das Wordfence Threat Intelligence Team eine Kompromittierung der Build- und Distribution-Pipeline des WordPress-Plugin-Herstellers ShapePlugin öffentlich gemacht. Angreifer hatten Zugriff auf den offiziellen Lizenz-Update-Server und lieferten über das reguläre Update-System mit Schadcode infizierte Pro-Versionen aus. Die Lücke wurde unter CVE-2026-10735 (CVSS 9.8, kritisch) und dem Duplikat CVE-2026-49777 registriert. ShapePlugin hat den Vorfall am 16. Juni 2026 bestätigt und bereitet bereinigte Plugin-Versionen vor.

Betroffene Produkte

Die Backdoor wurde in folgenden ShapePlugin-Pro-Plugins nachgewiesen:

PluginBestätigte kompromittierte VersionPatch-Status
Real Testimonials Pro3.2.5 (Stand 12.06.2026 direkt vom Vendor-Endpoint bezogen)Patched (Version in Vorbereitung)
Product Slider Pro for WooCommerceVersionen vor 3.5.4Patched ab 3.5.4
Smart Post Show ProVersionen vor 4.0.2Patched ab 4.0.2

ShapePlugin-Bundle-Pakete (WooCommerce Bundle, All Plugins Bundle, WordPress Bundle) sollten ebenfalls als potenziell betroffen gelten. Updates über wordpress.org für die kostenlosen Plugins waren nach derzeitigem Stand der Untersuchung nicht kompromittiert, die Backdoor zielte selektiv auf Pro-Distributionen über den Easy-Digital-Downloads-Update-Server unter account.shapedplugin.com.

Was der Angreifer eingeschleust hat

Die kompromittierten Pakete enthielten eine zusätzliche Datei src/Includes/LicenseLoader.php und einen modifizierten Hook in src/Includes/TestimonialPRO.php. Sobald ein Administrator eine beliebige Admin-Seite aufruft, lädt dieser Hook die versteckte Loader-Datei nach. Der Loader führt mehrere Schritte aus:

  1. Lädt eine Payload vom C2-Server unter 194.76.217.28:2871 nach.
  2. Installiert und aktiviert die Payload als unscheinbares Fake-Plugin unter wp-content/plugins/woocommerce-subscription/ (Singular, nicht zu verwechseln mit dem legitimen WooCommerce-Subscriptions-Plugin in der Pluralform).
  3. Meldet die infizierte Domain zurück an den C2-Server.
  4. Löscht sich selbst und entfernt den Hook aus TestimonialPRO.php, um forensische Spuren zu verwischen.

Dieses selbstlöschende Verhalten sorgt dafür, dass der initiale Infektionsvektor nach der ersten Ausführung verschwindet. Forensische Analysen, die erst später ansetzen, finden den Ausgangspunkt nicht mehr.

Die Payload im Detail

Die nachgeladene Schadsoftware bündelt mehrere Angriffswerkzeuge in einer einzelnen Plugin-Datei. Sie blendet sich über den all_plugins-Filter aus der Plugin-Liste im WordPress-Backend aus, sodass Administratoren die Infektion auf den ersten Blick nicht bemerken.

DateiFunktion
woocommerce-subscription.phpHaupt-Plugin-Datei, versteckt das Plugin vor der Admin-Liste
install-persistent.phpPersistenz, REST-API-Backdoor, Datenexfiltration
class-wc-admin-template.phpTiny File Manager 2.6 (Web-Dateimanager)
class-wc-template-builder.phpAdminer 5.2.1 (Datenbank-Frontend)
class-wc-subscription-diagnostics.phpURL-Parameter-Webshell (k, d, t)
class-wc-subscription-trace-dispatch.phpCredential- und 2FA-Geheimnis-Stealer
class-wc-subscription-scheduler.phpBackdoor-Login-Bypass

2FA-Geheimnisse im Ziel

Die Komponente class-wc-subscription-trace-dispatch.php hängt sich in die WordPress-Authentifizierung ein und greift sowohl das wp_authenticate- als auch das wp_login-Event ab. Erfasst werden Benutzername, Passwort im Klartext, IP-Adresse, User-Agent, Session-Cookies sowie Benutzerrollen und Capabilities. Zusätzlich sucht die Schadsoftware gezielt nach TOTP-Seeds gängiger 2FA-Plugins und exfiltriert sie:

// Gezielt angegriffene 2FA-Plugins und ihre Speicherorte:
// - WP 2FA: wp_2fa_totp_key (user meta)
// - Wordfence Login Security: wfls_2fa_secrets (custom table)
// - Really Simple SSL 2FA: rsssl_totp_secret (user meta)
// - Two-Factor plugin: _two_factor_totp_key (user meta)

Gestohlene Zugangsdaten und 2FA-Seeds werden an die Domain generate.2faplugin.org übermittelt, deren Name bewusst an legitimen 2FA-Datenverkehr erinnert. Mit Passwort und TOTP-Seed können Angreifer die Multi-Faktor-Authentifizierung komplett umgehen, selbst wenn das Opfer später das Passwort ändert.

Weitere Zugänge des Angreifers

Die Payload etabliert mehrere persistente Zugriffskanäle parallel:

  1. REST-API-Backdoor: install-persistent.php registriert einen Endpunkt unter /wp-json/wc/v3/settings/apply, der bei korrektem Authentifizierungs-Token beliebige Datei-Schreibvorgänge erlaubt.
  2. URL-Parameter-Webshell: class-wc-subscription-diagnostics.php akzeptiert Befehle via URL-Parameter mit den Ausführungsarten shell_exec, exec, passthru und eval.
  3. Tiny File Manager und Adminer: Direkter Zugriff per Web-UI auf Dateien und Datenbanken.
  4. Login-Bypass: Ein hartcodierter MD5-Hash (e268c35a06d85f672e70c9beecb4e5d1) erlaubt die Anmeldung als beliebiger Administrator ohne Passwort.

Indicators of Compromise

Für die Erkennung in eigenen Logs, EDR-Systemen oder Web-Shells-Scannern sind die folgenden Indikatoren relevant:

TypWert
Loader-Hash (SHA-256)0e17c869d3e4586d4c160041042bd15123c2a37117a98a995fae885f0f4417fc
C2-Endpunkt194.76.217.28:2871
Exfiltrations-Domaingenerate.2faplugin.org
REST-API-Endpunkt/wp-json/wc/v3/settings/apply
Fake-Plugin-Pfadwp-content/plugins/woocommerce-subscription/ (Singular)
Datenbank-Optionenwp_options.theme_options_scripts, wp_options.wc_nf_install_done
Login-Bypass-MD5e268c35a06d85f672e70c9beecb4e5d1

So bist du betroffen und was jetzt

Wenn du zwischen April und Juni 2026 ein ShapePlugin-Pro-Plugin installiert oder aktualisiert hast, solltest du deine WordPress-Installation als potenziell kompromittiert behandeln. Die folgenden Schritte sind unmittelbar erforderlich:

  1. Scannen: Malware-Scanner mit aktuellen Signaturen ausführen.
  2. Fake-Plugin prüfen: Auf das Vorhandensein von wp-content/plugins/woocommerce-subscription/ (Singular) und mögliche Varianten wie woocommerce-notification/ prüfen.
  3. Datenbankoptionen prüfen: wp_options auf die Werte theme_options_scripts und wc_nf_install_done kontrollieren.
  4. Alle Credentials rotieren: WordPress-Administratorpasswörter, Datenbankpasswörter, API-Schlüssel aus wp-config.php, SMTP-Zugangsdaten.
  5. 2FA-Geheimnisse neu erzeugen: Für alle Benutzer die TOTP-Seeds widerrufen und neu vergeben. Bereits gestohlene Seeds bleiben sonst nutzbar.
  6. Admin-Konten prüfen: Auf unbekannte oder zusätzliche Administrator-Accounts achten.
  7. SMTP-Konfiguration prüfen: Mail-Plugins wie WP Mail SMTP, Post SMTP, Easy WP SMTP auf veränderte SMTP-Zugangsdaten kontrollieren.

Warum dieser Vorfall anders ist

Die technische Schwachstelle liegt nicht im Plugin-Code selbst, sondern in der Lieferkette. Betreiber, die Pro-Versionen legal lizenziert und über das offizielle Update-System eingespielt haben, wurden gerade durch ihr regelkonformes Verhalten zum Opfer. Die Build-Pipeline bei ShapePlugin wurde vermutlich zwischen dem 21. Mai 2026 und dem 23. Mai 2026 kompromittiert. Vier Dateien wurden in einem Zeitfenster von zwei Stunden modifiziert, was auf einen automatisierten Build-Schritt und nicht auf manuelles Tampering hindeutet.

Die gezielte Exfiltration von 2FA-Geheimnissen markiert eine neue Eskalationsstufe bei WordPress-zentrierter Schadsoftware. Angreifer beschränken sich nicht mehr darauf, Passwörter zu stehlen, sondern jagen systematisch die zusätzlichen Sicherheitsfaktoren, die Site-Betreiber als Schutzmaßnahme installiert haben.

Passende Anleitungen auf S-EDV

  1. Zwei-Faktor-Authentifizierung (2FA/MFA) richtig einführen
  2. Linux-Server härten nach CIS-Benchmark: Praxisplan für KMU (Debian/Ubuntu)
  3. Miasma-Supply-Chain-Angriff: Red-Hat-npm-Pakete mit Credential-Stealer kompromittiert

Quellen

  1. Wordfence: PSA: Supply Chain Compromise Targets ShapePlugin (Primärquelle)
  2. NVD: CVE-2026-10735
  3. NVD: CVE-2026-49777
  4. Patchstack: WordPress Vulnerability Database
Verwandt

Weiter lesen

Alle Artikel →
Moderne IT-News-Grafik zu Pwn2Own Ireland 2025 über eine kritische Sicherheitslücke in der Synology BeeStation, die eine vollständige Systemübernahme ermöglicht, mit NAS-Gerät, Warnsymbol, Schutzschild und Update-Hinweis.
16.06.2026 ·3 min

Pwn2Own Ireland 2025: Kritische Lücke in Synology BeeStation ermöglicht vollständige Übernahme

Synology-Patch-News vom 27.05.2026: Drei Advisoires aus Pwn2Own Ireland 2025 mit Updates fuer BeeStation, DSM und C2 Identity Edge Server.
GitHub npm v12 blockiert ab Juli 2026 standardmäßig Install Skripte und Git Abhängigkeiten zum Schutz vor Supply Chain Angriffen in JavaScript Projekten
14.06.2026 ·3 min

GitHub npm v12: Install-Skripte und Git-Abhaengigkeiten werden im Juli 2026 standardmaessig blockiert

Im GitHub Changelog vom 9. Juni 2026 kuendigt GitHub fuer npm v12 drei neue Sicherheits-Defaults an: Install-Skripte, Git-Abhaengigkeiten und Remote-URL-Pakete werden per Default blockiert. Admins sollten ihre CI-Pipelines jetzt vorbereiten.
Cybersecurity Warnbild zu CVE 2026 35273 mit kritischer Remote Code Execution Lücke in Oracle PeopleSoft PeopleTools und Aufnahme in den CISA KEV Katalog
14.06.2026 ·5 min

CVE-2026-35273: Kritische RCE-Luecke in Oracle PeopleSoft PeopleTools im CISA-KEV-Katalog

CISA hat die fehlende Authentifizierung in Oracle PeopleSoft Enterprise PeopleTools 8.61 und 8.62 am 12. Juni 2026 in den KEV-Katalog aufgenommen. CVSS 3.1 liegt bei 9.8, ausgenutzt wird sie bereits in der Praxis.