概要
WPvivid Backup & MigrationというWordPressプラグインに深刻なリモートコード実行(Remote Code Execution: RCE)脆弱性が存在することが判明しました。このプラグインは90万以上のサイトで使用されており、認証なしで任意のファイルをアップロードすることでRCEを達成できる可能性があります。
詳細情報
このセキュリティ問題はCVE-2026-1357として追跡され、深刻度スコア9.8を獲得しています。影響を受けるのはプラグインのバージョン0.9.124以前全てです。
脆弱性の原因
研究者Lucas Montes (NiRoX)は、WPvividPluginsにこの脆弱性を報告し、その根本的な原因はRSA暗号化の誤ったエラーハンドリングとパスの適切なクリーンアップが行われていないことです。
影響範囲
- 非デフォルト設定: 「他のサイトからバックアップを受信する」オプションが有効になっている場合のみ深刻な影響があります。
- 時間制限: 攻撃者は生成されたキーの有効期間である24時間以内にしか実行できません。
対策とアップデート情報
DefiantはWPVividPluginsに対して1月22日にこの脆弱性を通知し、確認用のPoC(Proof of Concept)も提供しました。その後、0.9.124バージョンでセキュリティ更新が行われました。
ユーザーへのアドバイス
WPvivid Backup & Migrationプラグインを使用しているサイト管理者は、この脆弱性に関連するリスクを認識し、すぐに最新の0.9.124バージョンにアップデートすることをお勧めします。