Критическая уязвимость в плагине WPvivid Backup & Migration для WordPress, установленном на более чем 900 000 сайтов, может быть использована для удаленного выполнения кода путем загрузки произвольных файлов без аутентификации.
Проблема с безопасностью получила идентификатор CVE-2026-1357 и оценку серьезности 9,8. Она затрагивает все версии плагина до 0.9.123 и может привести к полной потере контроля над сайтом.
Несмотря на серьёзность проблемы, исследователи из компании Defiant, специализирующейся на безопасности WordPress, утверждают, что критическим образом проблема затрагивает только те сайты, на которых включена опция «получать резервные копии с другого сайта», которая по умолчанию отключена.
Кроме того, у злоумышленников есть 24-часовое окно для использования сгенерированного ключа, необходимого другим сайтам для отправки файлов резервных копий.
Это требование ограничивает возможности использования плагина, однако он широко применяется для миграции сайтов и переноса резервных копий между хостингами, поэтому администраторы сайтов, скорее всего, в какой-то момент включат эту функцию, по крайней мере временно.
Исследователь Лукас Монтес (NiRoX) сообщил об уязвимости в Defiant 12 января. Основная причина — некорректная обработка ошибок при расшифровке RSA в сочетании с отсутствием очистки пути.
В частности, если функция openssl_private_decrypt() не работает, плагин не останавливает выполнение, а передает результат сбоя (false) в процедуру AES (Rijndael).
Криптографическая библиотека воспринимает это как строку из нулевых байтов, создавая предсказуемый ключ шифрования, который злоумышленник может использовать для создания вредоносных данных, принимаемых плагином.
Кроме того, плагин не обеспечивал надлежащую очистку имен загружаемых файлов, что позволяло переходить по каталогам. Это давало возможность записывать файлы за пределами предназначенного для резервного копирования каталога и загружать вредоносные PHP-файлы для удаленного выполнения кода.
22 января компания Defiant уведомила поставщика, WPVividPlugins, после проверки предоставленного экспериментального эксплойта. 28 января было выпущено обновление для системы безопасности, устраняющее уязвимость CVE-2026-1357 в версии 0.9.124.
Исправление включает в себя добавление проверки, которая останавливает выполнение программы в случае сбоя при расшифровке RSA, очистку имени файла и ограничение загрузки только разрешенными типами файлов для резервного копирования, такими как ZIP, GZ, TAR и SQL.
Пользователи плагина WPvivid Backup & Migration для WordPress должны знать о рисках, связанных с этой уязвимостью, и как можно скорее обновить его до версии 0.9.124.