Detectouse unha vulnerabilidade crítica no plugin WPvivid Backup & Migration para WordPress que podería afectar a máis de 800.000 sitios web.
A falla permite execución remota de código sen autenticación previa, posibilitando o control total do sitio afectado.
A vulnerabilidade está rexistrada como CVE-2026-1357 cunha puntuación CVSS de 9.8.
A vulnerabilidade afecta ás versións ata a 0.9.123 do plugin WPvivid Backup & Migration.
A falla permite:
- Subida arbitraria de ficheiros
- Execución de código PHP
- Implantación de webshells
- Compromiso total do sitio
O problema deriva dunha xestión incorrecta na descodificación RSA e ausencia de validación adecuada de rutas e extensións, permitindo que un atacante cargue contido malicioso en zonas accesibles publicamente.
Impacto potencial
- Toma de control completo do portal web
- Robo de información
- Desfiguración do sitio
- Implantación de portas traseiras
- Distribución de malware
Risco para entidades públicas e locais
Se o plugin WPvivid está instalado en versión vulnerable, o risco é inmediato.
Medidas urxentes
- Verificar se o plugin WPvivid está instalado
- Actualizar inmediatamente á versión 0.9.124 ou superior
- Desactivar a funcionalidade de transferencia de claves se non é necesaria
- Revisar rexistros en busca de actividade sospeitosa
- Comprobar integridade de ficheiros
- Recoméndase realizar a actualización de maneira prioritaria.
