Uma falha crítica no popular plugin WPvivid Backup & Migration para WordPress, presente em mais de 900.000 sites, permitia que um atacante aumente arquivos arbitrários sem necessidade de se autenticar e, em determinadas condições, executar código remoto no servidor. O problema foi classificado como CVE-2026-1357 e recebeu uma pontuação de gravidade de 9.8 na escala comum de vulnerabilidades. Afectava todas as versões anteriores à 0.9.124 e, de não se corrigir, pode dar lugar à tomada completa de um site.
Embora a hashtag “crítico” pareça alarmante, pesquisadores que analisaram a falha explicam que a exploração prática requer que uma opção não ativada por defeito esteja ativa: a funcionalidade que permite a um site “reibir cópias de segurança de outro site”. Isto reduz a superfície de ataque, mas não a elimina: muitos administradores ativam essa opção temporária durante migrações ou transferências de host, pelo que a exposição real pode ser significativa quando aparece em ambientes de manutenção ou migração.
Do ponto de vista técnico, a vulnerabilidade combinava dois erros: um manejo incorreto de erros durante a desencriptação RSA e a ausência de saneamento nos nomes de arquivos subidos. Quando a chamada à função openssl_private_ decrypt () falhava, o plugin não detinha a execução e continuava usando o resultado errado (um valor booleano false) como semente para a rotina AES. Na prática, a biblioteca criptográfica interpretava esse valor como uma cadeia de bytes nulos, o que torna previsível a chave que se derivava e permitia a um atacante preparar cargas cifradas que o plugin aceitaria. Além disso, sem limpar os nomes dos arquivos, foi possível fazer um salto de pastas (path traversal) e escrever arquivos fora da pasta destinada às cópias, incluindo scripts PHP maliciosos que depois podiam ser executados no servidor.
O pesquisador conhecido como Lucas Montes (NiRoX) notificou o problema à empresa responsável pelo plugin em 12 de janeiro. Após validar um teste de conceito, o fornecedor foi informado oficialmente e foi publicado uma solução na versão 0.9.124 do plugin em 28 de janeiro. O adesivo adiciona uma verificação para interromper a execução se a desencriptação RSA falhar, incorpora saneamento de nomes de arquivo e restringe os tipos de arquivos permitidos para cópias de segurança a formatos seguros e esperados, como ZIP, GZ, TAR e SQL.
Se você quiser consultar a entrada oficial do registro de vulnerabilidades, a ficha na base de dados nacional de vulnerabilidades está disponível na NVD: CVE-2026-1357 em NVD. Para ver a página do plugin e o seu histórico no repositório oficial do WordPress, você pode visitar o seu prontuário no WordPress.org: WPvivid Backup & Migration no WordPress.org. Se você quiser rever a documentação do PHP sobre a função envolvida no problema, a referência oficial está no manual do PHP: openssl_private_ decrypt (). Para entender por que os saltos de diretório são perigosos, OWASP oferece uma explicação prática sobre essa classe de ataque: Path Traversal (OWASP).
O que os administradores e responsáveis por sites WordPress devem fazer? Em primeiro lugar, atualizar o plugin para a versão 0.9.124 o mais rapidamente possível: essa é a medida mais direta para fechar esta via de ataque. Se por alguma razão você não puder atualizar imediatamente, verifique se você tem a opção ativa para “reibir cópias de segurança de outro site” e desativá-la se você não precisa. Também convém auditar o sistema em busca de arquivos suspeitos, rever os registros do servidor web para detectar aumentos ou acessos anormais na janela temporal indicada e, em caso de dúvida, restaurar de uma cópia de segurança conhecida e limpa.
Este incidente é uma boa lição sobre como falhas no tratamento de erros criptográficos e na validação de entradas podem ser combinadas para produzir riscos graves. A criptografia mal gerida pode gerar chaves previsíveis, e a falta de saneamento em rotas de arquivos abre a porta para escrever onde não se deve; juntas, essas fraquezas oferecem a um atacante um caminho direto para a execução remota de código. Por isso, é importante não só confiar que uma livraria “bloqueie” o erro, mas verificar explicitamente os retornos e validar rigorosamente qualquer dado que venha do exterior.
Em resumo, se o seu site usa o WPvivid Backup & Migration: atualiza já a 0.9.124, verifique se você ativau a opção de recepção de backups e, se chegou a usar a funcionalidade vulnerada, realiza uma revisão exaustiva do sistema. Manter os plugins de cópia e migração atualizados e com as permissões e controles adequados é essencial para evitar que uma operação de manutenção termine tornando-se uma lacuna de segurança.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...