Уязвимость BDU:2022-04122

Дата: 04.05.2022. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-04122.

Наименование уязвимости: Уязвимость реализации интерфейса REST API плагина для управления школой и ее объектами School Management Pro системы управления содержимым сайта WordPress, позволяющая нарушителю выполнить произвольный PHP-код и получить полный контроль над приложением.

Описание уязвимости: Уязвимость реализации интерфейса REST API плагина для управления школой и ее объектами School Management Pro системы управления содержимым сайта WordPress связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный PHP-код и получить полный контроль над приложением
Уязвимое ПО: Прикладное ПО информационных систем Weblizar School Management Pro от 8.9 до 9.9.7 (premium) |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 04.05.2022.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению:
Обновление до версии 9.9.7 (premium):
https://weblizar.com/plugins/school-management/
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-1609.

Тип ошибки CWE: CWE-94, CWE-506
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://github.com/savior-only/CVE-2022-1609
http://patchstack.com/database/vulnerability/school-management-pro/wordpress-school-management-pro-premium-plugin-9-9-7-unauthenticated-remote-code-execution-rce-via-rest-api
https://www.cybersecurity-help.cz/vdb/SB2022052325
https://www.securitylab.ru/news/531813.php
https://habr.com/ru/news/t/667348/
https://www.bleepingcomputer.com/news/security/backdoor-baked-into-premium-school-management-plugin-for-wordpress/
https://thehackernews.com/2022/05/researchers-find-backdoor-in-school.html
https://jetpack.com/blog/backdoor-found-in-the-school-management-pro-plugin-for-wordpress/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *