Mehrere Versionen eines WordPress-Plugins mit dem Namen „School Management Pro“ enthielten eine Hintertür, die einem Angreifer die vollständige Kontrolle über anfällige Websites geben konnte.
Die Sicherheitslücke, die in Premium-Versionen vor 9.9.7 entdeckt wurde, hat die CVE-Kennung CVE-2022-1609 erhalten und wird mit 10 von 10 Punkten bewertet.
Die Hintertür, die vermutlich schon seit Version 8.9 existiert, ermöglicht es „einem nicht authentifizierten Angreifer, beliebigen PHP-Code auf Websites auszuführen, auf denen das Plugin installiert ist“, so Harald Eilertsen von Jetpack in einem Bericht vom Freitag.
School Management, entwickelt von einem indischen Unternehmen namens Weblizar, wird als WordPress-Zusatzmodul zur „Verwaltung des gesamten Schulbetriebs“ angepriesen. Das Unternehmen gibt an, dass mehr als 340.000 Kunden seine Premium- und kostenlosen WordPress-Themes und Plugins nutzen.
Das WordPress-Sicherheitsunternehmen teilte mit, dass es das Implantat am 4. Mai entdeckte, nachdem es auf das Vorhandensein von stark verschleiertem Code im Lizenzprüfungscode des Plugins aufmerksam gemacht wurde. Die kostenlose Version von School Management, die den Lizenzierungscode nicht enthält, ist nicht betroffen.
Obwohl die Hintertür inzwischen entfernt wurde, ist der genaue Ursprung der Kompromittierung nach wie vor unklar: Der Anbieter erklärt, dass er nicht weiß, wann oder wie der Code in seine Software gelangt ist.
Kunden des Plugins wird empfohlen, auf die neueste Version (9.9.7) zu aktualisieren, um aktive Ausnutzungsversuche zu verhindern.