ГлавнаяБаза уязвимостей БДУ → BDU:2022-04122
10критическая

BDU:2022-04122 (CVE-2022-1609)

Уязвимость реализации интерфейса REST API плагина для управления школой и ее объектами School Management Pro системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный PHP-код и получить полный контроль над приложением
Опубликовано: 2022-07-06
Описание

Уязвимость реализации интерфейса REST API плагина для управления школой и ее объектами School Management Pro системы управления содержимым сайта WordPress связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный PHP-код и получить полный контроль над приложением

Затрагиваемое ПО и версии
School Management Pro (от 8.9 до 9.9.7 (premium))
Способ устранения

Обновление до версии 9.9.7 (premium):
https://weblizar.com/plugins/school-management/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://github.com/savior-only/CVE-2022-1609http://patchstack.com/database/vulnerability/school-management-pro/wordpress-school-management-pro-premium-plugin-9-9-7-unauthenticated-remote-code-execution-rce-via-rest-apihttps://www.cybersecurity-help.cz/vdb/SB2022052325https://www.securitylab.ru/news/531813.phphttps://habr.com/ru/news/t/667348/https://www.bleepingcomputer.com/news/security/backdoor-baked-into-premium-school-management-plugin-for-wordpress/https://thehackernews.com/2022/05/researchers-find-backdoor-in-school.htmlhttps://jetpack.com/blog/backdoor-found-in-the-school-management-pro-plugin-for-wordpress/
Проверьте безопасность своего сайта и почты → Полная проверка домена