Contar con una página web, blog o un medio de comunicación que funcione con Wordpress y que tenga varios plugins instalados desarrollados para este sistema de gestión de contenidos multiplica los riesgos, ya que tanta la versión del CMS como la de estos añadidos deben ser actualizados con frecuencia para evitar agujeros de seguridad.
Además, hay veces que los plugins contienen importantes vulnerabilidades. Los investigadores han alertado sobre uno denominado School Management Pro.
Según han advertido, este contenía una puerta trasera que otorgaba a un adversario control total sobre aquellos sitios webs que lo tenían instalado. "Un atacante no autenticado puede ejecutar código PHP arbitrario en sitios con el complemento instalado", señala Harald Eilertsen, investigador de Jetpack.
Todo esto ha llevado a que los expertos hayan calificado este agujero de seguridad con una peligrosidad de 10 sobre 10.
La vulnerabilidad ha sido catalogada con el identificador CVE-2022-1609. Al parecer, el problema se ha detectado en versiones premium anteriores a la 9.9.7. La puerta trasera existíría desde la versión 8.9, según informa The Hacker News.
La versión gratuita no está afectada
School Management fue desarrollado por una empresa india llamada Weblizar y se anuncia como un plugin para WordPress que permite "administrar el funcionamiento complet de la escuela".
El problema solo afectaría a la versión de pago del complemento. La gratuita, que no incluye el código de licencia, no se ve afectada.
La vulnerabilidad fue encontrada el pasado 4 de mayo y parece que ha sido suprimida. No obstante, se recomienda a los clientes del plugin que actualicen a la última versión, la 9.9.7, para evitar los intentos de explotación activos.