- Smart Slider 3-Plugin-Update durch Hintertüren kompromittiert
- Schädliche Version 3.5.1.35 wurde auf über 800.000 Websites verbreitet
- Nextendweb fordert dringend ein Rollback oder Upgrade auf eine saubere Version
Wenn Sie den Smart Slider 3 verwenden Plugin Stellen Sie bei WordPress oder Joomla sicher, dass Sie sofort ein Update durchführen, da Experten gewarnt haben, dass das Tool kürzlich zur Verbreitung von Malware missbraucht wurde.
Nextendweb, der Betreuer von Smart Slider 3, hat kürzlich eine neue Sicherheitswarnung veröffentlicht, in der es heißt, dass etwa am 7. April 2026 unbekannte Bedrohungsakteure in das System eingebrochen sind, das zur Verteilung von Patches verwendet wird, und die Pro-Version des Plugins mit „mehreren Hintertüren und Persistenzebenen“ infiziert haben, bevor sie die vergiftete Version als Update auf mehr als 800.000 Websites verteilt haben.
Wahrscheinlich hat eine unbekannte Anzahl von Websites die kompromittierte Version 3.5.1.35 installiert, bevor die Entwickler den Angriff entdeckten und eine saubere Version – 3.5.1.36 – veröffentlichten. Benutzer werden nun aufgefordert, ein Upgrade auf diese Version oder ein Rollback auf Version 3.5.1.34 durchzuführen.
Der Artikel wird weiter unten fortgesetzt
Rollback der Updates
„Wenn Sie über einen verfügbaren Backup-Punkt verfügen, empfehlen wir dringend, Ihren Server auf ein Backup zurückzusetzen, das vor Version 3.5.1.35 erstellt wurde“, heißt es in der Empfehlung.
„Das kompromittierte Update wurde vom Angreifer am 7. April 2026 veröffentlicht. Aufgrund von Zeitzonenunterschieden ist es am sichersten, eine Wiederherstellung von einem Backup vom 5. April 2026 oder früher durchzuführen.“
Laut Nextendweb enthält die bösartige Plugin-Version mehrere Hintertüren, die es Bedrohungsakteuren ermöglichen, Systembefehle aus der Ferne (über HTTP-Header) auszuführen oder beliebigen PHP-Code über versteckte Anforderungsparameter auszuführen. Die Hintertüren erstellen auch einen versteckten Admin-Benutzer und verbergen ihn vor der Admin-Oberfläche. An diesen Orten wurden persistente Hintertüren gefunden:
wp-content/mu-plugins/object-cache-helper.php
Theme-Funktionen.php
wp-includes/class-wp-locale-helper.php
Schließlich kann die Hintertür Website- und Anmeldedaten an einen externen Server senden, weshalb betroffene Websites laut Nextendweb „als vollständig kompromittiert gelten sollten“.
Neben dem Zurücksetzen des Updates gibt es eine Reihe von Schritten, die Website-Administratoren durchführen sollten, um sicherzustellen, dass ihre Assets bereinigt werden. Diese finden Sie unter diesen Link.
Über BleepingComputer
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
