Ein kritischer Fehler im beliebten WPvid Backup & Migration Plugin für WordPress, in mehr als 900.000 Websites, erlaubte einem Angreifer, beliebige Dateien ohne Authentifizierung hochzuladen und unter bestimmten Bedingungen Remotecode auf dem Server auszuführen. Das Problem wurde als CVE-2026-1357 und erhielt eine Schwere Punktzahl 9.8 auf der gemeinsamen Skala der Schwachstellen. Es hat alle Versionen vor der 0,9124 und, wenn nicht korrigiert, könnte zur vollständigen Nutzung einer Website führen.
Obwohl das "kritische" Etikett alarmierend klingt, erklären Forscher, die den Fehler analysiert haben, dass die praktische Operation erfordert, dass eine nicht standardmäßig aktivierte Option aktiviert wird: die Funktionalität, die eine Seite erlaubt, "die Sicherung von einer anderen Seite zu erhalten". Dies reduziert die Angriffsfläche, beseitigt sie aber nicht: Viele Administratoren aktivieren diese Option bei Migrationen oder Host-Transfers vorübergehend, so dass die tatsächliche Exposition signifikant sein kann, wenn sie in Wartungs- oder Migrationsumgebungen erscheint.
Aus technischer Sicht kombinierte die Sicherheitslücke zwei Fehler: falsches Fehlermanagement während der RSA-Entschlüsselung und mangelnder Sanitation bei hochgeladenen Dateinamen. Beim Aufruf der Funktion opensl _ privat _ decrypt () Es scheiterte, das Plugin nicht die Ausführung stoppen und weiterhin das falsche Ergebnis (ein boolean Wert scheitert) als Saatgut für die Routine AES verwenden. In der Praxis interpretierte die kryptographische Buchhandlung diesen Wert als eine Kette von Nullbytes, die den resultierenden Schlüssel vorhersehbar machte und einem Angreifer erlaubte, verschlüsselte Lasten zu erstellen, die das Plugin akzeptieren würde. Darüber hinaus, ohne die Dateinamen zu reinigen, war es möglich, eine Verzeichnisse springen (Weg-Traversal) und schreiben Dateien aus dem Ordner für Kopien, einschließlich bösartige PHP-Skripte, die dann auf dem Server ausgeführt werden könnte.
Der Forscher namens Lucas Montes (NiRoX) berichtete am 12. Januar das Problem an das für das Plugin verantwortliche Unternehmen. Nach Validierung eines Konzepttests wurde der Lieferant offiziell informiert und eine Lösung in der Version veröffentlicht 0,9124 des Plugins am 28. Januar. Das Patch fügt eine Überprüfung hinzu, um die Ausführung zu stoppen, wenn die RSA-Entschlüsselung ausfällt, die Dateinamenkonsolidierung enthält und die Arten von Dateien, die für die Sicherung erlaubt sind, zu sichern und erwartete Formate wie ZIP, GZ, TAR und SQL.
Wenn Sie den offiziellen Eintrag des Sicherheitsregisters überprüfen möchten, ist die Registerkarte in der nationalen Sicherheitsdatenbank im NVD verfügbar: CVE-2026-1357 in NVD. Um die Plugin-Seite und seine Geschichte im offiziellen WordPress-Repository zu sehen, können Sie auf Ihrem Tab auf WordPress.org gehen: WPvid Backup & Migration auf WordPress.org. Wenn Sie die PHP-Dokumentation über die Rolle des Problems überprüfen möchten, ist die offizielle Referenz im PHP-Handbuch: opensl _ privat _ decrypt (). Um zu verstehen, warum Verzeichnissprünge gefährlich sind, bietet OWASP eine praktische Erklärung für diese Art von Angriff: Path Traversal (OWASP).
Was sollten Administratoren und Manager über WordPress-Seiten tun? Vor allem, das Plugin auf die Version aktualisieren 0,9124 so bald wie möglich: das ist die direkteste Maßnahme, um diesen Angriffsweg zu schließen. Wenn Sie aus irgendeinem Grund nicht sofort aktualisieren können, überprüfen Sie, ob Sie die Option haben, "Backup von einer anderen Seite zu erhalten" und deaktivieren Sie es, wenn Sie es nicht brauchen. Es ist auch angebracht, das System auf der Suche nach verdächtigen Dateien zu prüfen, die Aufzeichnungen des Webservers zu überprüfen, um abnorme Ups oder Zugriffe im angegebenen Zeitfenster zu erkennen und im Zweifelsfall aus einer bekannten und sauberen Sicherung wiederherzustellen.
Dieser Vorfall ist eine gute Lektion darüber, wie kryptographische Fehlerbehandlung und Eingangsvalidierungsausfälle kombiniert werden können, um ernste Risiken zu verursachen. Die schlecht verwaltete Kryptographie kann vorhersehbare Schlüssel erzeugen, und das Fehlen von Sanitation auf Dateiwegen öffnet die Tür zu schreiben, wo sie nicht fällig ist; zusammen bieten diese Schwächen einem Angreifer einen direkten Weg zur Remotecode-Ausführung. Es ist daher wichtig, nicht nur darauf zu vertrauen, dass eine Buchhandlung den Fehler "sperrt", sondern auch explizit Rücksendungen überprüfen und alle Daten, die von außen stammen, streng validieren.
Kurz gesagt, wenn Ihre Website WPvid Backup & Migration verwendet: bereits aktualisiert auf 0.9.124, überprüfen, ob Sie die Backup-Empfangsoption aktiviert haben und, wenn die beschädigte Funktionalität verwendet wurde, eine umfassende Überprüfung des Systems durchführen. Die Beibehaltung aktueller Kopier- und Migrations-Plugins mit entsprechenden Genehmigungen und Kontrollen ist unerlässlich, um zu verhindern, dass ein Wartungsvorgang zu einer Sicherheitslücke wird.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...