В WordPress-плагине для школ обнаружен таинственный бэкдор

Множество версий WordPress-плагина School Management Pro имеют встроенный бэкдор, потенциально обеспечивающий злоумышленникам полный контроль над затронутыми сайтами.

Проблема затрагивает премиум-версии плагина c 8.9 до 9.9.7. Уязвимость получила идентификатор CVE-2022-1609 и 10 баллов из 10 по шкале оценивания опасности.

Как пояснил специалист Jetpack Гаральд Эйлертсен (Harald Eilertsen), «неавторизованный злоумышленник может выполнить произвольный PHP-код на сайте с установленным плагином».

Разработанный индийской компанией Weblizar плагин School Management позиционируется как аддон для WordPress, предназначенный для «управления всей работой школы». Число пользователей бесплатных и премиум-плагинов Weblizar составляет порядка 340 тыс.

Специалисты Jetpack обнаружили имплант 4 мая 2022 года после того, как им стало известно о наличии сильно обфусцированного кода в коде плагина, проверяющем лицензию. Бесплатная версия School Management не является уязвимой, поскольку в ней нет кода для проверки лицензии.

Каким образом бэкдор был внедрен в плагин, непонятно, однако в настоящее время он уже удален. По словам вендора, ему неизвестно, когда и как код попал в их продукт.

Для того чтобы уберечь себя от возможных кибератак через встроенный бэкдор, пользователям School Management рекомендуется обновить свои плагины до версии 9.9.7.