O plugin permite a gestão de tudo o que seja relacionado com o ensino escolar, desde aulas, estudantes a professores, despesas, entre outros.

A falha foi dada pelo CVE-2022-1609, que consistia essencialmente na possibilidade de um atacante não autenticado executar código de forma arbitrária em sites com o plugin instalado. Essencialmente, estamos na presença de um backdoor, que se instalado na versão específica (até à 8.9), abria a porta ao atacante.

Versão afetada

8.9

Solução

Atualizar para a versão 9.9.7

Mais informações sobre a falha: https://jetpack.com/blog/backdoor-found-in-the-school-management-pro-plugin-for-wordpress/

Vulnerabilidade atualizada no wpscan: https://wpscan.com/vulnerability/e2d546c9-85b6-47a4-b951-781b9ae5d0f2