Plusieurs versions d’un plugin WordPress du nom de “School Management Pro” abritaient une porte d\u00e9rob\u00e9e qui pouvait accorder \u00e0 un adversaire un contr\u00f4le complet sur les sites Web vuln\u00e9rables.<\/p>\n
Le probl\u00e8me, rep\u00e9r\u00e9 dans les versions premium ant\u00e9rieures \u00e0 la 9.9.7, s’est vu attribuer l’identifiant CVE CVE-2022-1609<\/a> et est not\u00e9 10 sur 10 pour la gravit\u00e9.<\/p>\n La porte d\u00e9rob\u00e9e, qui existerait depuis la version 8.9, permet “\u00e0 un attaquant non authentifi\u00e9 d’ex\u00e9cuter du code PHP arbitraire sur des sites sur lesquels le plugin est install\u00e9”, a d\u00e9clar\u00e9 Harald Eilertsen de Jetpack. mentionn\u00e9<\/a> dans un article du vendredi.<\/p>\n School Management, d\u00e9velopp\u00e9 par une soci\u00e9t\u00e9 bas\u00e9e en Inde appel\u00e9e Weblizar<\/a>, est pr\u00e9sent\u00e9 comme un module compl\u00e9mentaire WordPress pour “g\u00e9rer le fonctionnement complet de l’\u00e9cole”. Il revendique \u00e9galement plus de 340 000 clients de ses th\u00e8mes et plugins WordPress premium et gratuits.<\/p>\n La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 WordPress a not\u00e9 qu’elle avait d\u00e9couvert l’implant le 4 mai apr\u00e8s avoir \u00e9t\u00e9 alert\u00e9e de la pr\u00e9sence d’un code fortement obscurci dans le code de v\u00e9rification de licence du plugin. Le version gratuite<\/a> of School Management, qui ne contient pas le code de licence, n’est pas impact\u00e9.<\/p>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n