Hack Alerta

Falha crítica no plugin WPvivid expõe 800 mil sites a RCE (CVE-2026-1357)

Por Redação Hack Alerta Publicado em 12/02/2026 14:03 Riscos e Ameaças Tempo de leitura: 2 min

CVE‑2026‑1357 (CVSS 9.8) afeta WPvivid Backup & Migration até a versão 0.9.123 e permite upload arbitrário → RCE se o recurso "receive a backup" estiver ativo. A correção está na 0.9.124; administradores devem atualizar, desabilitar o recurso quando não usado e auditar o web root.

Pesquisadores da Wordfence publicaram detalhes de uma vulnerabilidade crítica no plugin WordPress “WPvivid Backup & Migration” que permite upload arbitrário de arquivos e execução remota de código (RCE) sob condições específicas.

Vulnerabilidade e escopo

A falha foi registrada como CVE‑2026‑1357 com pontuação CVSS 9.8 (Critical). Afeta versões do plugin até 0.9.123; a correção foi disponibilizada na versão 0.9.124. A estimativa de exposição citada é de até 800.000 sites, porém o risco real depende da ativação de uma função específica do plugin.

Condição de exploração

O caminho explorável envolve o recurso “receive a backup from another site”, que exige a geração de uma chave nas configurações do plugin. Esse recurso está desabilitado por padrão e a chave pode expirar (até 24 horas). Se a chave estiver ativa, um endpoint de recebimento de backup (wpvivid_action=send_to_site) aceita upload que, por falha em tratamento de erro criptográfico e ausência de sanitização de caminhos, permite colocar arquivos PHP em local acessível via web.

Causa raiz e correção

Investigadores apontaram que uma falha no tratamento de erro de descriptografia RSA permitia que o processo continuasse com um valor falso (praticamente um “all null bytes” usado como chave AES), combinada com aceitação de nomes de arquivo não sanitizados, criando possibilidade de traversal e escrita fora do diretório esperado. A correção em 0.9.124 encerra o processamento quando a chave descriptografada é vazia/false e restringe extensões aceitas (zip/gz/tar/sql).

Medidas recomendadas

  • Atualizar imediatamente para WPvivid 0.9.124 em todos os sites afetados.
  • Desabilitar o recurso de receber backups a menos que seja necessário e rotacionar quaisquer chaves geradas.
  • Auditar o web root em busca de arquivos PHP adicionados no intervalo em que a chave esteve ativa.

Observações finais

Embora a estimativa de até 800 mil sites exista, o vetor requer configuração ativa do recurso de recebimento, o que reduz o escopo prático. Ainda assim, administradores devem tratar o incidente como de alta prioridade dado o potencial de RCE em instalações WordPress expostas.

Fonte: pesquisa e divulgação da Wordfence relatadas por Cyber Security News.

Baseado em publicação original de Cyber Security News
Tags: #wordpress #vulnerabilidade #rce #wpvivid #cve-2026-1357 #websecurity #backup #patch #admin
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar