Несколько версий плагина WordPress под названием «School Management Pro» содержат бэкдор, который может предоставить злоумышленнику полный контроль над уязвимыми веб-сайтами.
Проблеме, обнаруженной в премиум-версиях до версии 9.9.7, присвоен идентификатор CVE-2022-1609, а ее критичность оценивается в 10 баллов из 10.
Бэкдор, который, предположительно, существует с версии 8.9, позволяет «неавторизованному злоумышленнику выполнить произвольный PHP-код на сайтах с установленным плагином» - заявил Харальд Эйлертсен из компании Jetpack.
Плагин School Management, разработанный индийской компанией Weblizar, заявлен как дополнение к Wordpress для «полного управления работой образовательным учреждением». Разработчик утверждает, что число пользователей ее премиальных и бесплатных тем и плагинов WordPress - более 340 000.
Исследователи безопасности WordPress отметили, что обнаружили имплант 4 мая после того, как был замечен сильно обфусцированый код в алгоритме проверки лицензии плагина. Бесплатная версия School Management, которая не содержит лицензионного кода, не затронута.
Хотя бэкдор уже удален, точный источник компрометации остается неясным: разработчик заявил, что «они не знают, когда и как вредоносный код попал в их программное обеспечение».
Пользователям плагина рекомендуется обновить его до последней версии (9.9.7), чтобы предотвратить активные попытки эксплуатации.
Источник: https://thehackernews.com
