“School Management Pro” adlı bir WordPress eklentisinin birden çok sürümü, bir düşmana savunmasız web siteleri üzerinde tam kontrol sağlayabilecek bir arka kapı barındırıyordu.
9.9.7’den önceki premium sürümlerde görülen soruna CVE tanımlayıcısı atanmıştır. CVE-2022-1609 ve ciddiyet açısından 10 üzerinden 10 olarak derecelendirilmiştir.
Jetpack’ten Harald Eilertsen, 8.9 sürümünden beri var olduğuna inanılan arka kapı, “kimliği doğrulanmamış bir saldırganın eklentinin yüklü olduğu sitelerde rastgele PHP kodu yürütmesine” olanak tanıyor. dedim Cuma yazısında.
adlı Hindistan merkezli bir şirket tarafından geliştirilen Okul Yönetimi, Weblizar, “tüm okul operasyonunu yönetmek” için bir WordPress eklentisi olarak faturalandırılır. Ayrıca, premium ve ücretsiz WordPress temaları ve eklentilerinden 340.000’den fazla müşteri talep ediyor.
WordPress güvenlik şirketi, eklentinin lisans kontrol kodunda çok karmaşık bir kod olduğu konusunda uyarıldıktan sonra 4 Mayıs’ta implantı ortaya çıkardığını kaydetti. bu ücretsiz sürüm Lisans kodunu paketlemeyen Okul Yönetimi bu durumdan etkilenmez.
Arka kapı o zamandan beri kaldırılmış olsa da, satıcının “kodun yazılımlarına ne zaman ve nasıl geldiğini bilmediklerini” belirtmesiyle uzlaşmanın tam kaynağı belirsizliğini koruyor.
Eklenti müşterilerinin, aktif istismar girişimlerini önlemek için en son sürüme (9.9.7) güncellemeleri önerilir.