研究人员在WordPress的学校管理插件中找到后门

多个名为“School Management Pro”的WordPress插件版本都有一个后门，可以让对手完全控制易受攻击的网站。

该问题出现在9.9.7之前的高级版本中，已分配CVE标识符CVE-2022-1609，严重性评分为10分之10。

Jetpack的Harald Eilertsen在周五的一篇评论中说，该后门据信自8.9版以来就存在，它使“未经验证的攻击者能够在安装了插件的网站上执行任意PHP代码”。

学校管理由一家印度公司Weblizar开发，被称为Wordpress附加组件，用于“管理整个学校运营”它还声称拥有超过340000名优质免费WordPress主题和插件的客户。

WordPress安全公司指出，在接到插件许可证检查代码中存在严重混淆代码的警报后，于5月4日发现了该植入物。学校管理的免费版本不包含许可代码，不受影响。

虽然后门已经被移除，但妥协的确切起源仍不清楚，供应商表示“他们不知道代码何时或如何进入他们的软件”。

建议该插件的客户更新至最新版本（9.9.7），以防止主动利用该插件。