Plugin WordPress com 900 mil sites expõe RCE

Uma vulnerabilidade crítica no plugin WPvivid Backup & Migration para WordPress pode permitir execução remota de código (RCE) sem autenticação, colocando em risco mais de 900 mil websites onde a ferramenta está instalada.

A falha, identificada como CVE-2026-1357, recebeu uma pontuação CVSS de 9.8 e afeta todas as versões até à 0.9.123. A exploração bem-sucedida pode resultar no controlo total do site comprometido.

Segundo a empresa de segurança WordPress Defiant, o impacto crítico verifica-se apenas quando está ativa a opção não predefinida “receive backup from another site”. Esta funcionalidade permite receber ficheiros de backup a partir de outro website, cenário comum em migrações ou transferências entre alojamentos.

A exploração depende ainda de uma chave gerada para permitir o envio de ficheiros entre sites, válida por 24 horas. Embora este requisito reduza a exposição contínua, os investigadores alertam que administradores ativam frequentemente esta funcionalidade, ainda que de forma temporária.

A vulnerabilidade foi reportada e a análise técnica indica que a origem do problema está no tratamento incorreto de erros durante a desencriptação RSA, combinado com ausência de sanitização adequada de caminhos de ficheiros.

Quando a função openssl_private_decrypt() falha, o plugin não interrompe a execução. Em vez disso, passa o resultado inválido para a rotina de encriptação AES (Rijndael). A biblioteca criptográfica interpreta o valor como uma sequência previsível de bytes nulos, permitindo a um atacante gerar uma chave controlável e criar payloads maliciosos que o sistema aceita como válidos.

Adicionalmente, o plugin não validava corretamente os nomes dos ficheiros carregados, permitindo ataques de directory traversal. Este cenário possibilita a escrita de ficheiros fora da diretoria prevista para backups e o envio de ficheiros PHP maliciosos, abrindo caminho à execução remota de código.

A Defiant notificou o fornecedor WPVividPlugins a 22 de janeiro, após validação de um exploit proof-of-concept. A correção foi disponibilizada na versão 0.9.124, lançada a 28 de janeiro.

A atualização introduz verificação explícita para interromper a execução caso a desencriptação RSA falhe, sanitização de nomes de ficheiros e restrição dos tipos permitidos para upload, limitando-os a formatos de backup como ZIP, GZ, TAR e SQL.

Os administradores que utilizam o WPvivid Backup & Migration devem atualizar imediatamente para a versão 0.9.124, mitigando o risco de comprometimento total do website.