WordPressにおいて「The School Management Pro」プラグインを使っている場合は注意が必要だ。このプラグインのバージョン9.9.7よりも前のバージョンにバックドアが仕込まれていたことが判明した。このバックドアを用いることで、認証されていないサイバー攻撃者が同プラグインがインストールされたWebサイトにおいて任意のPHPコードを実できるとされている。
深刻度はCVSSスコア値10と、最大で緊急(Critical)に分類されている。該当するプラグインを使用している場合にはただちに問題が修正されたバージョンへアップグレードすることが推奨されている。脆弱性に関する情報は次のページにまとまっている。
-
Backdoor found in The School Management Pro plugin for WordPress
影響を受けるとされるプラグインはWeblizarの提供する「The School Management Pro」で、バージョン9.9.7よりも前のバージョン。どのバージョンからバックドアが仕込まれていたかは明らかになっていない。そのため、9.9.7よりも前のバージョンを使っている場合はバックドアが仕込まれているリスクがあると判断し、ただちにアップグレードすることが推奨されている。
The School Management Proを開発しているベンダーは、どの段階でこのバックドアが仕込まれるようになったのか不明としているほか、どのようにして自社製品にバックドアが入り込んだのか、その経路も不明だとしている。なお、WordPress.orgのプラグインリポジトリにある無料版にはライセンスコードが含まれていないため、このバックドアの影響は受けないと説明されている。
ダークウェブから分析、2025年に増加すると予測されるセキュリティのリスク
