Onderzoekers hebben in een plug-in voor schoolwebsites die op WordPress draaien een backdoor ontdekt waardoor de betreffende site volledig is over te nemen. De leverancier weet niet wanneer de backdoor aan de code is toegevoegd en op welke manier. Scholen worden opgeroepen om meteen naar de meest recente versie (9.9.7) van "The School Management Pro" plug-in van softwarebedrijf Weblizar te updaten.

De plug-in biedt een volledig platform voor onderwijstaken en schoolbeheer, waaronder het bijhouden van onkosten, innen van lesgeld, onderwijs op afstand, aanbieden van online lesmateriaal, aanwezigheidsregistratie, voortgang van leerlingen, inschrijven van nieuwe leerlingen, documentbeheer en andere taken. Alle versies van de plug-in voor versie 9.9.7 bevatten een backdoor.

Door middel van deze backdoor kan een ongeauthenticeerde aanvaller willekeurige php-code uitvoeren op websites waarop de plug-in is geïnstalleerd en zo de website volledig overnemen. Dat meldt securitybedrijf Jetpack dat de kwetsbaarheid, aangeduid als CVE-2022-1609, ontdekte. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0.

De backdoor kwam aan het licht nadat het supportteam van WordPress.com naar Jetpack stapte omdat er kwaadaardige code was ontdekt in een plug-in die op verschillende websites draaide. In eerste instantie werd gedacht dat het hier om illegale plug-ins ging die de websites hadden geïnstalleerd. Het komt vaker voor dat betaalde WordPress-plug-ins op andere sites gratis worden aangeboden maar zijn voorzien van een backdoor.

In dit geval bleek de officiële versie van de plug-in de backdoor te bevatten. Jetpack benaderde de leverancier van de plug-in en vroeg informatie over wanneer de backdoor was toegevoegd, hoe dit mogelijk was en welke versies precies kwetsbaar zijn. Weblizar kon de gevraagde informatie niet verstrekken en weet niet wanneer en hoe de backdoor in de code belandde. Hoeveel scholen van de plug-in gebruikmaken is onbekend. Weblizar claimt 270.000 klanten te hebben.