Основы Интернет - технологий.

В плагине WPvivid Backup & Migration для WordPress обнаружили критическую уязвимость загрузки произвольных файлов, которая в итоге ведет к удаленному выполнению кода без аутентификации. Проблема угрожает более чем 900 000 сайтов, которые используют этот плагин.

Уязвимость получила идентификатор CVE-2026-1357 и 9,8 балла по шкале CVSS. Баг затрагивает все версии плагина вплоть до 0.9.123 и в худшем случае может привести к полной компрометации и захвату уязвимого сайта.

Проблему обнаружил исследователь Лукас Монтес (Lucas Montes), известный под ником NiRoX, который сообщил о ней специалистам компании Defiant 12 января 2026 года.

Эксперты Defiant пишут, что в реальности угроза не так велика. Уязвимость представляет реальную угрозу лишь для тех сайтов, где включена опция «receive backup from another site» (получение бэкапов с другого сайта). При этом у атакующих есть всего сутки для эксплуатации уязвимости — именно столько действует ключ, необходимый для передачи резервных копий между сайтами. Однако отмечается, что плагин часто используется именно для миграции сайтов и переноса бэкапов между хостингами, так что администраторы нередко включают эту функцию хотя бы временно.

Корень проблемы заключается в некорректной обработке ошибок при RSA-дешифровании в сочетании с отсутствием проверки пути файла. Когда функция openssl_private_decrypt() завершается неудачей, плагин не останавливает выполнение, а передает неудачный результат (false) в рутину AES (Rijndael). Криптографическая библиотека интерпретирует это как строку нулевых байтов, создавая предсказуемый ключ шифрования, который атакующий может использовать для создания вредоносных пейлоадов.

Кроме того, плагин не очищал имена загружаемых файлов должным образом, что открывало дорогу для атак типа directory traversal. То есть злоумышленники могли записывать произвольные файлы за пределами каталога для резервных копий, что ведет к удаленному выполнению кода.

Разработчики WPVividPlugins получили уведомление об уязвимости 22 января, и патч, устраняющий CVE-2026-1357, вышел в версии 0.9.124 28 января. В исправлении была добавлена проверка, останавливающая выполнение при сбое RSA-дешифрования, очистку имен файлов и загрузка ограничена только разрешенными типами файлов (такие как ZIP, GZ, TAR и SQL).

Пользователям плагина WPvivid Backup & Migration настоятельно рекомендуется как можно скорее обновиться до версии 0.9.124.