- Plug-in WPvivid Backup & Migration vulnerável ao bug crítico RCE CVE-2026-1357
- A exploração requer a opção “receber backup de outro site” habilitada, com janela de ataque de 24 horas
- Remendado na versão 0.9.123 (28 de janeiro); os usuários solicitaram uma atualização imediata
WPvivid Backup & Migration, um plugin do WordPress com quase um milhão de instalações, é vulnerável a um bug de gravidade crítica que pode permitir que agentes de ameaças executem códigos maliciosos remotamente.
Por mais confuso que pareça, o bug tem algumas limitações que dificultam sua exploração.
O plugin WordPress afetado permite aos usuários fazer backup, restaurar e migrar sites para novos domínios ou hosts. Os recursos básicos estão disponíveis gratuitamente, com atualizações premium opcionais para recursos mais avançados. Hoje conta com mais de 900 mil instalações ativas e 20 mil clientes.
Exploração e correção
No entanto, os pesquisadores de segurança da Defiant descobriram que o plug-in tem um tratamento inadequado de erros durante o processo de descriptografia RSA, além de falta de limpeza de caminho. Como resultado, os agentes de ameaças podem enviar arquivos arbitrários para o servidor sem autenticação, resultando na execução remota de código (RCE).
A falha permanece como CVE-2026-1357 e tem pontuação de gravidade de 9,8/10 (crítica). Afeta todas as versões até 0.9.123, lançada em 28 de janeiro.
Embora todos os usuários sejam aconselhados a atualizar para uma versão segura o mais rápido possível, explorar esta vulnerabilidade não é tão fácil quanto parece. Somente sites com a opção “Receber backup de outro site” habilitada são vulneráveis, e esse recurso não está ativado por padrão.
Além disso, os criminosos têm apenas 24 horas para atacar, considerando que a chave que outros sites precisam para enviar arquivos de backup expira após um dia.
Infelizmente, não há como saber exatamente quantas das 900 mil instalações ativas estão vulneráveis. O site oficial do plugin WordPress mostra apenas instalações da versão 0.9, sem maiores segmentações. Indica que o plugin foi baixado aproximadamente 200 mil vezes desde 28 de janeiro, dia do patch, até hoje.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber novidades, análises, unboxings em formato de vídeo e receber atualizações constantes nossas WhatsApp também
