Hallan una puerta trasera en un plugin de WordPress que da acceso total a los sitios web

Los investigadores han calificado la gravedad de esta vulnerabilidad del plugin School Management Pro con un 10 sobre 10.

Alberto Payo

Periodista

Guardar

Aumentan las infecciones de puerta trasera en páginas web realizadas con Wordpress.
Aumentan las infecciones de puerta trasera en páginas web realizadas con Wordpress.

Contar con una página web, blog o un medio de comunicación que funcione con Wordpress y que tenga varios plugins instalados desarrollados para este sistema de gestión de contenidos multiplica los riesgos, ya que tanta la versión del CMS como la de estos añadidos deben ser actualizados con frecuencia para evitar agujeros de seguridad. 

Además, hay veces que los plugins contienen importantes vulnerabilidades. Los investigadores han alertado sobre uno denominado School Management Pro

Según han advertido, este contenía una puerta trasera que otorgaba a un adversario control total sobre aquellos sitios webs que lo tenían instalado. "Un atacante no autenticado puede ejecutar código PHP arbitrario en sitios con el complemento instalado", señala Harald Eilertsen, investigador de Jetpack. 

Todo esto ha llevado a que los expertos hayan calificado este agujero de seguridad con una peligrosidad de 10 sobre 10

La vulnerabilidad ha sido catalogada con el identificador CVE-2022-1609. Al parecer, el problema se ha detectado en versiones premium anteriores a la 9.9.7. La puerta trasera existíría desde la versión 8.9, según informa The Hacker News

La versión gratuita no está afectada

School Management fue desarrollado por una empresa india llamada Weblizar y se anuncia como un plugin para WordPress que permite "administrar el funcionamiento complet de la escuela". 

El problema solo afectaría a la versión de pago del complemento. La gratuita, que no incluye el código de licencia, no se ve afectada. 

La vulnerabilidad fue encontrada el pasado 4 de mayo y parece que ha sido suprimida. No obstante, se recomienda a los clientes del plugin que actualicen a la última versión, la 9.9.7, para evitar los intentos de explotación activos.