WordPress Backup Pluginの脆弱性が80万サイトをリモートコード実行攻撃から危険に晒す

概要

人気のあるWPvivid Backup & Migrationプラグインで発見された深刻な脆弱性により、80万以上のWordPressサイトがリモートコード実行（RCE）攻撃から危険に晒されています。

CVE-2026-1357と呼ばれるこの脆弱性はCVSSスケールで9.8と評価され、認証なしの攻撃者が任意のファイルをアップロードし、悪意のあるPHPコードを実行できる可能性があります。

この脆弱性はWPvivid Backupバージョン0.9.123までに存在します。攻撃者はwpvivid_action=send_to_siteパラメータを利用して、任意のPHPファイルをアップロードし、ブラウザで直接呼び出すことが可能です。

この問題はプラグインのRSA暗号化処理における不適切なエラー処理と欠落したファイルパスのクリーニングにより引き起こされます。セッションキーを復号しようとした際に失敗しても、処理が停止せず、AES暗号初期化ルーチンに偽の値が渡されます。

修正版：WPvivid開発チームは1月28日、完全に対応したバージョン0.9.124をリリースしました。この修正では、復号失敗時に処理が即座に停止するようにチェックを追加し、ファイル拡張子の検証も強化しています。
保護措置：Wordfenceは1月22日にプレミアム顧客向けにファイアウォールルールを発行し、2月21日には無料ユーザーにも提供予定です。

WPvivid Backupを使用している全てのWordPressサイト管理者は、最新版0.9.124へのアップデートをすぐに実施することを強く推奨します。この脆弱性が引き起こす可能性のある深刻なリスクを軽減するためです。

元記事: https://gbhackers.com/wordpress-backup-plugin-vulnerability/