Plusieurs versions d’un plugin WordPress du nom de « School Management Pro » abritaient une porte dérobée qui pouvait accorder à un adversaire un contrôle complet sur les sites Web vulnérables.

Le problème, repéré dans les versions premium antérieures à la 9.9.7, s’est vu attribuer l’identifiant CVE CVE-2022-1609 et est noté 10 sur 10 pour la gravité.

La porte dérobée, qui existerait depuis la version 8.9, permet « à un attaquant non authentifié d’exécuter du code PHP arbitraire sur des sites sur lesquels le plugin est installé », a déclaré Harald Eilertsen de Jetpack. mentionné dans un article du vendredi.

School Management, développé par une société basée en Inde appelée Weblizar, est présenté comme un module complémentaire Wordpress pour « gérer le fonctionnement complet de l’école ». Il revendique également plus de 340 000 clients de ses thèmes et plugins WordPress premium et gratuits.

La société de sécurité WordPress a noté qu’elle avait découvert l’implant le 4 mai après avoir été alertée de la présence d’un code fortement obscurci dans le code de vérification de licence du plugin. Le version gratuite of School Management, qui ne contient pas le code de licence, n’est pas impacté.

Bien que la porte dérobée ait été supprimée depuis, les origines exactes de la compromission restent floues, le fournisseur déclarant qu' »il ne sait pas quand ni comment le code est entré dans son logiciel ».

Il est recommandé aux clients du plugin de mettre à jour vers la dernière version (9.9.7) pour empêcher les tentatives d’exploitation actives.