Un échec critique dans le célèbre plugin WPvid Backup & Migration pour WordPress, présent dans plus de 900 000 sites, a permis à un attaquant de télécharger des fichiers arbitraires sans authentification et, sous certaines conditions, d'exécuter du code à distance sur le serveur. Le problème a été répertorié comme CVE-2026-1357 et a reçu un score de gravité de 9,8 sur l'échelle commune des vulnérabilités. Il a affecté toutes les versions avant le 0.9.124 et, s'il n'est pas corrigé, pourrait conduire à la prise complète d'un site Web.
Bien que l'étiquette « critique » semble alarmante, les chercheurs qui ont analysé l'échec expliquent que l'opération pratique exige qu'une option non activée par défaut soit activée : la fonctionnalité qui permet à un site de recevoir une sauvegarde depuis un autre site. Cela réduit la surface d'attaque, mais ne l'élimine pas : de nombreux administrateurs activent temporairement cette option lors des migrations ou des transferts d'hôte, de sorte que l'exposition réelle peut être significative lorsqu'elle apparaît dans les environnements de maintenance ou de migration.
D'un point de vue technique, la vulnérabilité a combiné deux erreurs : une mauvaise gestion des erreurs pendant le décryptage RSA et un manque d'assainissement dans les noms de fichiers téléchargés. Lorsque vous appelez la fonction ouvre _ privé _ déchiffrer () Il a échoué, le plugin n'a pas arrêté l'exécution et a continué à utiliser le mauvais résultat (une valeur booléenne échoue) comme graine pour la routine AES. Dans la pratique, la librairie cryptographique a interprété cette valeur comme une chaîne d'octets nuls, ce qui a rendu la clé résultante prévisible et a permis à un attaquant de préparer des charges chiffrées que le plugin accepterait. En outre, sans nettoyer les noms de fichiers, il a été possible de faire sauter un répertoire (chemin traversal) et d'écrire des fichiers du dossier destiné aux copies, y compris les scripts PHP malveillants qui pourraient alors être exécutés sur le serveur.
Le chercheur connu sous le nom de Lucas Montes (NiRoX) a signalé le problème à l'entreprise responsable du plugin le 12 janvier. Après validation d'un test de concept, le fournisseur a été officiellement informé et une solution a été publiée dans la version 0.9.124 du plugin le 28 janvier. Le patch ajoute une vérification pour arrêter l'exécution si le déchiffrement RSA échoue, intègre la consolidation de nom de fichier et restreint les types de fichiers autorisés pour la sauvegarde aux formats sécurisés et attendus tels que ZIP, GZ, TAR et SQL.
Si vous voulez vérifier l'entrée officielle du registre de vulnérabilité, l'onglet dans la base de données de vulnérabilité nationale est disponible dans le NVD: CVE-2026-1357 en NVD. Pour voir la page plugin et son histoire dans le dépôt WordPress officiel, vous pouvez aller à votre onglet sur WordPress.org: WPvid Backup & Migration sur WordPress.org. Si vous souhaitez consulter la documentation PHP sur le rôle du problème, la référence officielle est dans le manuel PHP: ouvre _ privé _ déchiffrer (). Pour comprendre pourquoi les sauts de répertoire sont dangereux, OWASP offre une explication pratique pour ce type d'attaque: Voie transversale (OWASP).
Que devraient faire les administrateurs et les gestionnaires des sites WordPress ? Tout d'abord, Mettre à jour le plugin vers la version 0.9.124 Dès que possible : c'est la mesure la plus directe pour fermer ce chemin d'attaque. Si pour une raison quelconque vous ne pouvez pas mettre à jour immédiatement, vérifiez si vous avez l'option de "obtenir la sauvegarde d'un autre site" et désactivez-la si vous n'en avez pas besoin. Il convient également de vérifier le système à la recherche de fichiers suspects, d'examiner les dossiers du serveur Web pour détecter les hauts ou les accès anormaux dans la fenêtre de temps indiquée et, en cas de doute, de restaurer à partir d'une sauvegarde connue et propre.
Cet incident est une bonne leçon sur la façon dont le traitement des erreurs cryptographiques et les échecs de validation d'entrée peuvent être combinés pour causer des risques graves. La cryptographie mal gérée peut générer des clés prévisibles, et le manque d'assainissement sur les voies de fichiers ouvre la porte à écrire où elle n'est pas due; ensemble, ces faiblesses offrent à un attaquant un chemin direct vers l'exécution de code à distance. Il est donc important non seulement de croire qu'une librairie "bloque" l'erreur, mais aussi de vérifier explicitement les retours et de valider strictement toutes les données qui viennent de l'extérieur.
Bref, si votre site utilise WPvid Backup & Migration: déjà mis à jour à 0.9.124, vérifiez si vous avez activé l'option de réception de sauvegarde et, si la fonctionnalité endommagée a été utilisée, effectuez un examen complet du système. Il est essentiel de maintenir des plugins de copie et de migration à jour avec des permis et des contrôles appropriés pour éviter qu'une opération de maintenance ne devienne une lacune de sécurité.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...