Admin
Администратор
Как захватить 900000 сайтов, не зная ни одного пароля. Пособие для тех, кто забывает обновлять WordPress
Пришло время проверить свои плагины для бэкапов.
В популярном плагине резервного копирования для WordPress нашли критическую уязвимость, которая позволяет захватить сайт без входа в учётную запись. Проблема затрагивает расширение WPvivid Backup & Migration, установленное более чем на 900 000 сайтов.
Проблему обнаружил исследователь безопасности Лукас Монтес, известный под псевдонимом NiRoX, и передал сведения через программу вознаграждений компании Wordfence. Уязвимость получила идентификатор CVE-2026-1357 и оценку CVSS 9.8 из 10. Проблема затрагивает версии плагина до 0.9.123 включительно. Разработчики выпустили исправление в версии 0.9.124.
Ошибка связана с механизмом приёма резервных копий с другого сайта. В плагине есть функция передачи бэкапа по специальному временному ключу. По умолчанию она отключена, а срок действия ключа не может превышать 24 часа. Если ключ был создан и использовался, злоумышленник мог обойти проверку расшифровки и загрузить на сервер файл с произвольным содержимым. Дополнительная проблема состояла в отсутствии нормальной проверки имени и расширения загружаемого файла. Это открывало путь к размещению вредоносных сценариев в доступных каталогах сайта.
Через такой сценарий атакующий мог выполнить код на сервере и получить полный контроль над сайтом. Подобные уязвимости часто используются для установки скрытых управляющих модулей и дальнейшего распространения вредоносной активности.
Компания Wordfence подтвердила наличие ошибки и уведомила разработчиков плагина 22 января. Уже на следующий день команда WPvivid ответила и начала подготовку исправления. Обновлённая версия была выпущена 28 января. В ней добавлена проверка корректности ключа расшифровки и жёсткое ограничение типов загружаемых файлов. Теперь разрешены только форматы резервных копий.
Пользователи платных версий защитного решения Wordfence получили правило межсетевого экрана для блокировки атак 22 января. Пользователи бесплатной версии получают такую же защиту с задержкой в 30 дней.
Владельцам сайтов на WordPress рекомендуют как можно скорее обновить плагин WPvivid Backup до версии 0.9.124 или новее. Особенно важно сделать это тем, кто включал функцию приёма резервных копий с других сайтов и создавал временный ключ доступа.
