کشف بکدور در افزونه School Management وردپرس
اخبار
بکدور خطرناک در School Management
یک بکدور (backdoor) بسیار خطرناک در چندین نسخه از افزونه وردپرسی School Management Pro کشف شده است که هکرها میتوانند با استفاده از آن، کنترل کامل وبسایتهایی که از این نسخه استفاده میکنند، را در دست بگیرند.
این مشکل در نسخههای پولی قبل از نسخه 9.9.7 شناسایی شده و شناسه آسیبپذیری CVE-2022-1609 با درجه شدت ۱۰ از ۱۰ به آن اختصاص یافته است.
به نظر میرسد که این بکدور از نسخه ۸.۹ در افزونه School Management وجود داشته است. هکرهایی که هیچ گونه مجوزی برای دسترسی به وبسایت نداشته باشند، میتوانند از طریق این بکدور و با حمله اجرای کد PHP دلخواه به سایتهایی که افزونه School Management روی آنها نصب شده باشد، کنترل وبسایت را به طور کامل در اختیار بگیرند.
شرکت هندی Weblizar افزونه School Management را با هدف استفاده در مدیریت سیستمهای آموزشی، توسعه داده است و در حال حاضر بیش از ۳۴۰ هزار مشتری در سرتاسر دنیا از نسخه پولی و نسخههای رایگان این افزونه استفاده میکنند.
به گفته شرکت JetPack که در حوزه امنیت وردپرس کار میکند، این آسیبپذیری در تاریخ ۴ می ۲۰۲۲ یافته شده است. نسخه رایگان افزونه School Management که برای استفاده از آن به کد فعالسازی نیاز ندارید، این آسیبپذیری را ندارد.
با اینکه بکدور یافت شده در نسخههای جدید این افزونه وردپرسی برطرف شده است اما دلیل ایجاد آن هنوز مشخص نیست. شرکت هندی توسعهدهنده این افزونه گفته است که نمیداند کد این آسیبپذیری چطور وارد نرمافزار شده است.
به مشتریان این افزونه توصیه میشود که هر چه سریعتر، آن را به نسخه 9.9.7 ارتقاء دهند تا وبسایتهای آنها هک نشود.
منبع:
