Identificam 900 mil sites WordPress vulneráveis por falha de
TL;DR
Uma vulnerabilidade crítica foi identificada no plugin WPvivid Backup & Migration, utilizado em mais de 900 mil sites WordPress globalmente.
Uma vulnerabilidade crítica foi identificada no plugin WPvivid Backup & Migration, que é utilizado em mais de 900 mil sites WordPress globalmente. Esta falha, classificada como CVE-2026-1357, recebeu pontuação máxima de 9.8 em uma escala de 0 a 10, o que indica seu alto risco potencial.
O plugin WPvivid é uma ferramenta essencial para backup e migração de sites WordPress, permitindo aos usuários realizar cópias de segurança e transferir dados entre servidores. No entanto, a falha expõe os sites a ataques devido à possibilidade de Execução Remota de Código (RCE), permitindo que invasores executem comandos maliciosos sem necessidade de autenticação.
Com este tipo de falha, cibercriminosos podem assumir o controle total de um site afetado. De acordo com especialistas em segurança, essa situação coloca em risco a integridade e a confidencialidade dos dados armazenados nos sites.
Entenda o ataque
A vulnerabilidade foi descoberta pelo pesquisador Lucas Montes e reportada à Defiant, uma empresa especializada em segurança para WordPress, no dia 12 de janeiro. A falha afeta todas as versões do plugin até a 0.9.123 e resulta de uma combinação de erros no código.
A vulnerabilidade ativa-se durante o uso da funcionalidade "receber backup de outro site", normalmente habilitada em migrações de sites. A falha reside na validação inadequada dos dados criptografados recebidos, possibilitando que um invasor envie comandos que o plugin não valida adequadamente.
Quando a descriptografia RSA falha, o plugin não interrompe a execução como deveria, criando uma chave de criptografia previsível. Isso permite que atacantes emitem arquivos maliciosos que são aceitos como legítimos, explorando a ausência de validação nos nomes dos arquivos.
Invasão completa do site
Uma vez que o arquivo malicioso é carregado no servidor, o invasor pode acessá-lo facilmente através do navegador. No WordPress, arquivos em PHP são executáveis, ou seja, ao acessá-los, o servidor automaticamente executa os comandos nele contidos.
Com um arquivo PHP malicioso acessível, o hacker assume o controle do site, podendo roubar dados, modificar conteúdos, criar contas administrativas e instalar backdoors, que são formas de reentrada para ataques futuros. Os pesquisadores da Defiant destacam que tal vulnerabilidade pode possibilitar a tomada total do site.
Fatores que limitam a exploração
Embora a gravidade da vulnerabilidade seja alta, existem restrições que podem limitar sua exploração em massa. A principal é que a funcionalidade vulnerável não vem ativada por padrão nos sites. Além disso, quando habilitada, a chave de acesso gerada pelo plugin permanece válida apenas por 24 horas.
Contudo, especialistas acreditam que essas limitações são insuficientes para eliminar o risco. Administradores podem ativar a função vulnerável ao realizar migrações, criando assim janelas de oportunidade para ataques.
Correção já disponível
A Defiant notificou a desenvolvedora do plugin, WPVividPlugins, sobre a vulnerabilidade em 22 de janeiro. Uma correção foi disponibilizada rapidamente na versão 0.9.124, lançada em 28 de janeiro.
A nova versão implementa medidas de segurança adicionais. As melhorias incluem validação rigorosa dos dados recebidos, correção da falha de descriptografia e restrição aos tipos de arquivos permitidos para upload, evitando a inclusão de arquivos PHP que possam conter código malicioso.
Especialistas recomendam que todos os usuários do WPvivid Backup & Migration atualizem imediatamente para a versão 0.9.124. Dado que muitos sites permanecem vulneráveis, a probabilidade de que atacantes utilizem scripts automatizados para explorar sites desatualizados é alta.
Para verificar a versão instalada do plugin, é recomendável acessar o painel administrativo do WordPress, ir à seção "Plugins" e procurar por "WPvivid". Caso a versão seja 0.9.123 ou anterior, a atualização deve ser realizada imediatamente.
Para receber mais atualizações sobre segurança e tecnologia, siga o TecMundo nas redes sociais e inscreva-se em nossa newsletter e canal no YouTube.
Conteudo selecionado e editado com assistencia de IA. Fontes originais referenciadas acima.
