CVE-2022-1609

Versões do plugin School Management para WordPress anteriores à 9.9.7

O problema está relacionado a um backdoor ofuscado injetado no código de verificação de licença do plugin School Management para WordPress, que registra um manipulador de API REST. Isso permite que um invasor não autenticado execute código PHP arbitrário no site, o que pode levar ao controle total sobre a aplicação. O número estimado de dispositivos potencialmente afetados em todo o mundo é superior a 340.000, já que o criador do plugin, Weblizar, afirma ter mais de 340.000 clientes utilizando seus temas e plugins WordPress premium e gratuitos. A vulnerabilidade foi descoberta nas versões premium do plugin anteriores à 9.9.7 e é considerada de gravidade elevada.

Para versões do plugin School Management WordPress anteriores à 9.9.7, atualize o plugin para a versão 9.9.7 ou posterior para evitar a exploração.

Como solução temporária, considere desativar o manipulador da API REST registrado pelo código de verificação de licença do plugin até que um patch esteja disponível.

Restrinja o acesso à funcionalidade de verificação de licença do plugin para minimizar o risco de exploração.