Как захватить 900000 сайтов, не зная ни одного пароля. Пособие для тех, кто забывает обновлять WordPress
NewsMakerПришло время проверить свои плагины для бэкапов.
В популярном плагине резервного копирования для WordPress нашли критическую уязвимость, которая позволяет захватить сайт без входа в учётную запись. Проблема затрагивает расширение WPvivid Backup & Migration, установленное более чем на 900 000 сайтов.
Проблему обнаружил исследователь безопасности Лукас Монтес, известный под псевдонимом NiRoX, и передал сведения через программу вознаграждений компании Wordfence . Уязвимость получила идентификатор CVE-2026-1357 и оценку CVSS 9.8 из 10. Проблема затрагивает версии плагина до 0.9.123 включительно. Разработчики выпустили исправление в версии 0.9.124.
Ошибка связана с механизмом приёма резервных копий с другого сайта. В плагине есть функция передачи бэкапа по специальному временному ключу. По умолчанию она отключена, а срок действия ключа не может превышать 24 часа. Если ключ был создан и использовался, злоумышленник мог обойти проверку расшифровки и загрузить на сервер файл с произвольным содержимым. Дополнительная проблема состояла в отсутствии нормальной проверки имени и расширения загружаемого файла. Это открывало путь к размещению вредоносных сценариев в доступных каталогах сайта.
Через такой сценарий атакующий мог выполнить код на сервере и получить полный контроль над сайтом. Подобные уязвимости часто используются для установки скрытых управляющих модулей и дальнейшего распространения вредоносной активности.
В популярном плагине резервного копирования для WordPress нашли критическую уязвимость, которая позволяет захватить сайт без входа в учётную запись. Проблема затрагивает расширение WPvivid Backup & Migration, установленное более чем на 900 000 сайтов.
Проблему обнаружил исследователь безопасности Лукас Монтес, известный под псевдонимом NiRoX, и передал сведения через программу вознаграждений компании Wordfence . Уязвимость получила идентификатор CVE-2026-1357 и оценку CVSS 9.8 из 10. Проблема затрагивает версии плагина до 0.9.123 включительно. Разработчики выпустили исправление в версии 0.9.124.
Ошибка связана с механизмом приёма резервных копий с другого сайта. В плагине есть функция передачи бэкапа по специальному временному ключу. По умолчанию она отключена, а срок действия ключа не может превышать 24 часа. Если ключ был создан и использовался, злоумышленник мог обойти проверку расшифровки и загрузить на сервер файл с произвольным содержимым. Дополнительная проблема состояла в отсутствии нормальной проверки имени и расширения загружаемого файла. Это открывало путь к размещению вредоносных сценариев в доступных каталогах сайта.
Через такой сценарий атакующий мог выполнить код на сервере и получить полный контроль над сайтом. Подобные уязвимости часто используются для установки скрытых управляющих модулей и дальнейшего распространения вредоносной активности.