Критическая уязвимость в плагине WPvivid Backup & Migration для WordPress, установленном более чем на 900 000 веб-сайтов, может быть использована для удаленного выполнения кода путем загрузки произвольных файлов без аутентификации.
Проблема безопасности отслеживается под кодом CVE-2026-1357 и имеет оценку критичности 9.8. Она затрагивает все версии плагина до 0.9.123 и может привести к полному захвату контроля над веб-сайтом.
Несмотря на серьезность проблемы, исследователи из компании Defiant, специализирующейся на безопасности WordPress, заявляют, что критически затронуты только сайты с включенной опцией «получать резервные копии с другого сайта», которая не является стандартной.
Более того, у злоумышленников есть 24-часовое окно для эксплуатации, которое соответствует сроку действия сгенерированного ключа, необходимого другим сайтам для отправки файлов резервных копий.
Это требование ограничивает реальную сферу воздействия; тем не менее, плагин часто используется для миграции сайтов и передачи резервных копий между хостами, поэтому администраторы веб-сайтов, скорее всего, включат эту функцию в какой-то момент, по крайней мере, временно.
Исследователь Лукас Монтес (NiRoX) сообщил об уязвимости в Defiant 12 января. Первопричиной является некорректная обработка ошибок при дешифровании RSA в сочетании с отсутствием санации путей.
В частности, когда функция ‘openssl_private_decrypt()’ завершается с ошибкой, плагин не прекращает выполнение, а передает результат сбоя (false) в процедуру AES (Rijndael).
Криптографическая библиотека обрабатывает это как строку нулевых байтов, создавая предсказуемый ключ шифрования, который злоумышленник может использовать для создания вредоносных полезных нагрузок, которые плагин примет.
Кроме того, плагин не проводил должную санацию имен загружаемых файлов, что позволяло обходить каталоги. Это позволяет записывать файлы за пределами предполагаемой директории резервного копирования и загружать вредоносные PHP-файлы для удаленного выполнения кода.
Defiant уведомила поставщика, WPVividPlugins, 22 января после проверки предоставленного эксплойта с доказательством концепции. Обновление безопасности, устраняющее CVE-2026-1357, было выпущено в версии 0.9.124 28 января.
Исправление включает добавление проверки для остановки выполнения в случае сбоя дешифрования RSA, добавление санации имен файлов и ограничение загрузки только разрешенными типами файлов резервных копий, такими как ZIP, GZ, TAR и SQL.
Пользователям плагина WPvivid Backup & Migration для WordPress следует помнить о рисках, связанных с уязвимостью, и как можно скорее обновиться до версии 0.9.124.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
