🔥 この記事の詳細
2026-06-22 更新
A
今日中

ShapedPlugin社が提供するWordPressのPro向けプラグインにおいて、サプライチェーン攻撃によるバックドアの混入

脆弱性🌐 英語ソース
🖥️ 製品WordPress
🔢 CVECVE-2026-49777
📅 2026-06-22📰 hackernews
📌 一言でいうと
ShapedPlugin社が提供するWordPressのPro向けプラグインにおいて、サプライチェーン攻撃によるバックドアの混入が判明しました。攻撃者はベンダーのビルドおよび配布パイプラインを侵害し、公式の更新チャネルを通じて悪意のあるコードを配信していました。影響を受けるのはPro版のみで、WordPress.orgで配布されている無料版は影響を受けません。
🔍該当判定
  • WordPressで「Product Slider Pro for WooCommerce」の有料版を利用している
  • WordPressで「Real Testimonials Pro」の有料版を利用している
  • WordPressで「Smart Post Show Pro」の有料版を利用している
上記いずれにも該当しない(無料版のみ利用、または他社プラグインのみ利用) → 静観でOK
該当時の対応
影響を受けるプラグインを最新バージョン(Product Slider Pro 3.5.4以降、Real Testimonials Pro 3.2.6以降、Smart Post Show Pro 4.0.2以降)にアップデートし、侵害の痕跡がないか確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ShapedPlugin WordPress Proプラグインのサプライチェーン攻撃 (CVE-2026-49777) 対応について

お疲れさまです。ShapedPlugin社のPro向けプラグインにおけるサプライチェーン攻撃に関する情報共有です。

■ 概要
ベンダーのビルド・配布パイプラインが侵害され、公式更新チャネルを通じてバックドアが仕込まれたコードが配信されました。Product Slider Pro for WooCommerceに関してはCVSS 10.0の最高深刻度が割り当てられています。

■ 影響範囲
- Product Slider Pro for WooCommerce (3.5.4未満)
- Real Testimonials Pro (3.2.5)
- Smart Post Show Pro (4.0.2未満)
※ベンダーのEDDインフラ(account.shapedplugin.com)経由で配布されたPro版のみが対象。無料版は影響なし。

■ 対応手順
1. 自社管理サイトで上記Proプラグインを利用しているか確認する。
2. 利用している場合、直ちに最新バージョンへアップデートを適用する。
3. バックドアによる不正アクセスの形跡がないか、ログおよび不審なファイルの有無を確認する。

■ 参考情報
- Wordfence Analysis

対応優先度: 高
対応期限: 本日中
Subject: [Security Alert] Supply Chain Attack on ShapedPlugin WordPress Pro Plugins (CVE-2026-49777)

Dear IT/Security Team,

We are sharing information regarding a supply chain attack affecting Pro plugins from ShapedPlugin.

■ Overview
Threat actors compromised the vendor's build and distribution pipeline, injecting backdoor code into Pro plugin releases distributed through official licensed update channels. CVE-2026-49777 has been assigned to Product Slider Pro for WooCommerce with a CVSS score of 10.0.

■ Affected Scope
- Product Slider Pro for WooCommerce (versions before 3.5.4)
- Real Testimonials Pro (version 3.2.5)
- Smart Post Show Pro (versions before 4.0.2)
*Note: Only Pro versions distributed via account.shapedplugin.com are affected. Free versions on WordPress.org are NOT impacted.

■ Action Plan
1. Identify if any managed WordPress sites are using the affected Pro plugins.
2. Immediately update the plugins to the latest patched versions.
3. Conduct a security audit to check for signs of compromise or unauthorized access.

■ Reference
- Wordfence Analysis

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-22 のまとめ🔍 記事を検索