Beberapa versi plugin WordPress dengan nama “School Management Pro” memiliki pintu belakang yang dapat memberikan kontrol penuh kepada musuh atas situs web yang rentan.
Masalah ini, terlihat di versi premium sebelum 9.9.7, telah diberi pengenal CVE CVE-2022-1609 dan diberi peringkat 10 dari 10 untuk tingkat keparahan.
Pintu belakang, yang diyakini telah ada sejak versi 8.9, memungkinkan “penyerang yang tidak diautentikasi untuk mengeksekusi kode PHP sewenang-wenang di situs dengan plugin yang diinstal,” kata Harald Eilertsen dari Jetpack dalam artikel Jumat.
Manajemen Sekolah, yang dikembangkan oleh perusahaan yang berbasis di India bernama Weblizar, disebut sebagai add-on WordPress untuk “mengelola operasi sekolah yang lengkap.” Ia juga mengklaim lebih dari 340.000 pelanggan tema dan plugin WordPress premium dan gratis.
Perusahaan keamanan WordPress mencatat bahwa mereka menemukan implan pada 4 Mei setelah diperingatkan akan adanya kode yang sangat dikaburkan dalam kode pemeriksaan lisensi plugin. Versi gratis Manajemen Sekolah, yang tidak mengemas kode lisensi, tidak terpengaruh.
Sementara pintu belakang telah dihapus, asal-usul yang tepat dari kompromi masih belum jelas, dengan vendor menyatakan bahwa “mereka tidak tahu kapan atau bagaimana kode masuk ke perangkat lunak mereka.”
Pelanggan plugin disarankan untuk memperbarui ke versi terbaru (9.9.7) untuk mencegah upaya eksploitasi aktif.