Un fallo crítico en el popular plugin WPvivid Backup & Migration para WordPress, presente en más de 900.000 sitios, permitía a un atacante subir archivos arbitrarios sin necesidad de autenticarse y, en determinadas condiciones, ejecutar código remoto en el servidor. El problema ha sido catalogado como CVE-2026-1357 y recibió una puntuación de severidad de 9.8 en la escala común de vulnerabilidades. Afectaba a todas las versiones anteriores a la 0.9.124 y, de no corregirse, podría dar lugar a la toma completa de un sitio web.
Aunque la etiqueta de “crítico” suena alarmante, investigadores que analizaron el fallo explican que la explotación práctica requiere que una opción no activada por defecto esté habilitada: la funcionalidad que permite a un sitio “recibir copias de seguridad desde otro sitio”. Esto reduce la superficie de ataque, pero no la elimina: muchos administradores activan esa opción temporalmente durante migraciones o transferencias de host, por lo que la exposición real puede ser significativa cuando aparece en entornos de mantenimiento o migración.
Desde el punto de vista técnico, la vulnerabilidad combinaba dos errores: un manejo incorrecto de errores durante la desencriptación RSA y la ausencia de saneamiento en los nombres de archivos subidos. Cuando la llamada a la función openssl_private_decrypt() fallaba, el plugin no detenía la ejecución y continuaba usando el resultado erróneo (un valor booleano false) como semilla para la rutina AES. En la práctica, la librería criptográfica interpretaba ese valor como una cadena de bytes nulos, lo que hacía predecible la clave que se derivaba y permitía a un atacante preparar cargas cifradas que el plugin aceptaría. Además, sin limpiar los nombres de los archivos, era posible realizar un salto de directorios (path traversal) y escribir ficheros fuera de la carpeta destinada a las copias, incluyendo scripts PHP maliciosos que luego podían ejecutarse en el servidor.
El investigador conocido como Lucas Montes (NiRoX) notificó el problema a la empresa responsable del plugin el 12 de enero. Tras validar una prueba de concepto, el proveedor fue informado oficialmente y se publicó una solución en la versión 0.9.124 del plugin el 28 de enero. El parche añade una comprobación para interrumpir la ejecución si la desencriptación RSA falla, incorpora saneamiento de nombres de archivo y restringe los tipos de ficheros permitidos para las copias de seguridad a formatos seguros y esperados, como ZIP, GZ, TAR y SQL.
Si quieres consultar la entrada oficial del registro de vulnerabilidades, la ficha en la base de datos nacional de vulnerabilidades está disponible en la NVD: CVE-2026-1357 en NVD. Para ver la página del plugin y su historial en el repositorio oficial de WordPress, puedes acudir a su ficha en WordPress.org: WPvivid Backup & Migration en WordPress.org. Si quieres revisar la documentación de PHP sobre la función implicada en el problema, la referencia oficial está en el manual de PHP: openssl_private_decrypt(). Para entender por qué los saltos de directorio son peligrosos, OWASP ofrece una explicación práctica sobre esa clase de ataque: Path Traversal (OWASP).
¿Qué deben hacer los administradores y responsables de sitios WordPress? En primer lugar, actualizar el plugin a la versión 0.9.124 lo antes posible: esa es la medida más directa para cerrar esta vía de ataque. Si por alguna razón no puedes actualizar de inmediato, revisa si tienes activada la opción para “recibir copias de seguridad desde otro sitio” y desactívala si no la necesitas. También conviene auditar el sistema en busca de archivos sospechosos, revisar los registros del servidor web para detectar subidas o accesos anómalos en la ventana temporal indicada y, en caso de duda, restaurar desde una copia de seguridad conocida y limpia.
Este incidente es una buena lección sobre cómo fallos en el tratamiento de errores criptográficos y en la validación de entradas pueden combinarse para producir riesgos graves. La criptografía mal manejada puede generar claves previsibles, y la falta de saneamiento en rutas de archivos abre la puerta a escribir donde no se debe; juntas, estas debilidades ofrecen a un atacante un camino directo hacia la ejecución remota de código. Por eso es importante no solo fiarse de que una librería “bloquee” el error, sino comprobar explícitamente los retornos y validar estrictamente cualquier dato que venga del exterior.
En resumen, si tu sitio usa WPvivid Backup & Migration: actualiza ya a 0.9.124, comprueba si activaste la opción de recepción de backups y, si se llegó a usar la funcionalidad vulnerada, realiza una revisión exhaustiva del sistema. Mantener plugins de copia y migración actualizados y con los permisos y controles adecuados es esencial para evitar que una operación de mantenimiento termine convirtiéndose en una brecha de seguridad.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...