Unul dintre cele mai populare pluginuri WordPress pentru backup și migrare – WPvivid Backup & Migration – a fost afectat de o vulnerabilitate critică ce permite atacatorilor să preia controlul complet asupra unui site. Problema, urmărită ca CVE‑2026‑1357, a primit un scor CVSS de 9.8, indicând severitate maximă. [bleepingcomputer.com]

Afectând toate versiunile pluginului până la 0.9.123, vulnerabilitatea permite încărcarea de fișiere arbitrare fără autentificare, ceea ce deschide calea către execuție de cod de la distanță (RCE) și compromiterea totală a site‑ului. Peste 800.000–900.000 de instalări active sunt potențial expuse, potrivit evaluărilor din comunitatea de securitate. [cyberpress.org], [bleepingcomputer.com]

Cum funcționează atacul?

Vulnerabilitatea este declanșată atunci când administratorul activează opțiunea pluginului “receive backup from another site”, dezactivată în mod implicit, dar des folosită în procesele de migrare. Dacă această funcție este pornită, atacatorul poate exploata un lanț de erori din mecanismul criptografic al pluginului. [bleepingcomputer.com], [cyberpress.org]

Cauza tehnică principală

• Pluginul folosește funcția openssl_private_decrypt() pentru a descifra un key folosit la transferul backup-urilor.
• Dacă descifrarea eșuează, funcția returnează false, însă pluginul continuă procesarea în loc să oprească execuția.
• Acest rezultat fals este interpretat ca o serie de null bytes, generând o cheie de criptare previzibilă.
• Folosind această cheie, atacatorul poate genera payload-uri valide și le poate trimite pluginului ca și cum ar proveni din surse legitime. [bleepingcomputer.com]
• Lipsa sanitizării numelor de fișiere permite traversare de directoare și încărcarea de fișiere PHP malițioase în zone accesibile public. [cyberpress.org]

Rezultatul final: încărcarea unui webshell sau executarea unui script malițios care oferă control total asupra site‑ului.

Limitările atacului (dar nu te baza pe ele!)

Chiar dacă vulnerabilitatea este severă, există câteva condiții care reduc expunerea:

• Funcția vulnerabilă este dezactivată implicit și trebuie activată manual.
• Cheia necesară pentru transfer este valabilă doar 24 de ore, reducând fereastra de atac. [bleepingcomputer.com], [techradar.com]
• Exploatarea necesită un scenariu în care site‑ul primește fișiere backup dintr‑o altă sursă.

Totuși, deoarece WPvivid este folosit frecvent pentru migrare, mulți administratori activează temporar opțiunea, ceea ce poate expune accidental site‑ul în mod semnificativ. [bleepingcomputer.com]

Cât de gravă este situația?

Pe scurt: extrem de gravă, deoarece exploatarea permite un atac fără autentificare.
Organizațiile de securitate semnalează riscul ridicat de compromitere completă, inclusiv:

• instalarea de backdoor‑uri,
• încărcarea de malware,
• furt de date din baza de date,
• compromiterea altor site‑uri din același server. [gbhackers.com]

Cine a descoperit vulnerabilitatea și ce spune comunitatea de securitate?

Vulnerabilitatea a fost descoperită de Lucas Montes (NiRoX), prin programul de tip bug bounty al Wordfence, care l-a recompensat cu 2.145 USD.
Această descoperire a scos în evidență importanța programelor de recompense în ecosistemul WordPress, acolo unde pluginurile terțe reprezintă una dintre principalele surse de risc. [cyberpress.org], [wordfence.com]

Patch disponibil — actualizează imediat!

Echipa WPvivid a reacționat rapid și a lansat versiunea 0.9.124 pe 28 ianuarie 2026, care:

• oprește execuția dacă decriptarea returnează false,
• introduce filtrare pentru numele fișierelor,
• restricționează tipurile de fișiere permise (ZIP, TAR, GZ, SQL). [bleepingcomputer.com]

Wordfence a activat reguli de firewall pentru utilizatorii Premium pe 22 ianuarie, urmând ca utilizatorii versiunii gratuite să primească protecția începând cu 21 februarie 2026. [wordfence.com]

Recomandări pentru administratorii WordPress

1. Actualizează imediat WPvivid la versiunea 0.9.124 sau mai nouă.
2. Dezactivează opțiunea „receive backup from another site” dacă nu este necesară.
3. Monitorizează fișierele noi din directoarele publice (wp-content, uploads, etc.).
4. Activează un firewall WordPress precum Wordfence, în special în perioadele sensibile (migrare, mentenanță).
5. Evită expunerea de funcționalități de import/export către internet în timpul operațiunilor de migrare.

Concluzie

Vulnerabilitatea WPvivid Backup & Migration reprezintă un exemplu clar despre cum un plugin esențial poate deveni un vector major de atac. Chiar dacă exploatarea necesită câțiva factori specifici, riscul pentru site‑urile WordPress rămâne ridicat, iar administratorii ar trebui să trateze actualizarea ca o prioritate imediată.