Investigadores encuentran backdoor en un plugin de gestión escolar para WordPress

Múltiples versiones de un plugin de WordPress con el nombre de «School Management Pro» albergaban una backdoor que puede otorgar a un hacker el control total de los sitios web vulnerables.

A la vulnerabilidad, detectada en versiones premium anteriores a la 9.9.7, se le asignó el identificador CVE-2022-1609, con una calificación CVSS de 10.

La puerta trasera, que se cree que existe desde la versión 8.9, permite que «un atacante no autenticado ejecute código PHP arbitrario en sitios con el complemento instalado», dijo Harald Eilertsen, de Jetpack.

School Management, desarrollado por una compañía con sede en India, llamada Weblizar, se anuncia como un complemento de WordPress para «administrar el funcionamiento completo de la escuela». También reclama más de 340,000 clientes de sus temas y complementos premium y gratuitos de WordPress.

La compañía de seguridad de WordPress dijo que descubrió el implante el 4 de mayo luego de que se alertara sobre la presencia de un código muy ofuscado en el código de verificación de licencia del complemento. La versión gratuita de School Management, que no incluye el código de licencia, no se ve afectada.

Aunque la backdoor se eliminó desde entonces, los orígenes exactos del compromiso siguen sin estar claros, y el proveedor dijo que «no saben cuándo o cómo entró el código en su software».

Se recomienda a los usuarios del plugin que actualicen a la última versión (9.9.7) para evitar intentos de explotación.