izxci/CVE-2026-49777

# CVE-2026-49777 CVE-2026-49777 - ShapedPlugin Product Slider Pro for WooCommerce 后门 RCE 深度技术分析：Product Slider Pro 后门漏洞 漏洞基础与原因 (CWE-1284) 该漏洞的技术根源被归类为 CWE-1284：“输入中指定数量的验证不当”。这意味着软件接收用户预期用于指定数量（例如，大小、长度、数字）的输入，但未对该输入进行适当的验证。攻击者可以利用此漏洞发送与正常预期不同的恶意输入，导致系统表现出意外的行为。 . 受影响版本与补丁状态 受影响版本：3.5.3 之前的所有版本。 安全版本：3.5.4 及更高版本。 补丁状态（严重）：尽管插件开发者 (ShapedPlugin, LLC) 在 3.5.3 版本中修复了该漏洞，但他们尚未正式发布新的版本号。该修复已集成到当前的 3.5.3 版本中。这使得站点所有者无法可靠地确定他们是否运行了安全版本。因此，该漏洞被官方认定为“未修补”状态。 CVSS 评分与风险评估 CVSSv3 基础评分：10.0（严重） 风险评估：该向量表明，攻击可以通过网络进行 (AV:N)，复杂度低 (AC:L)，不需要任何授权 (PR:N)，也不需要用户交互 (UI:N)。成功的攻击将完全破坏系统的机密性 (C:H)、完整性 (I:H) 和可用性 (A:H)，并且其影响可能蔓延至目标系统之外 (S:C)。 漏洞利用：用于自动化检测和漏洞利用的 Python 脚本 (CVE-2026-49777.py)

标签：CISA项目, Python, WooCommerce, WordPress插件, 后门, 文件完整性监控, 无后门, 编程工具, 远程代码执行, 逆向工具