夜雨聆风
WordPress备份插件漏洞使数十万个网站面临远程代码执行攻击风险
WPvivid Backup & Migration WordPress 插件存在一个严重缺陷,未经身份验证的攻击者可能上传文件并在服务器上运行代码,这往往会导致网站完全被接管。
该问题被追踪为 CVE-2026-1357,评分为 9.8(严重),影响插件版本 0.9.123 及更高版本,0.9.124 版本中提供了修复程序。
只有当网站通过在插件设置中生成密钥来启用 WPvivid 的“从另一个网站接收备份”功能时,才会出现最严重的风险,因为该功能默认情况下是禁用的,并且密钥最多会在 24 小时内过期。
在易受攻击的流程中,攻击者可以针对备份接收端点,并触发与该 wpvivid_action=send_to_site 参数关联的上传路径。
Wordfence 的研究人员指出,该漏洞源于加密错误处理错误以及不安全的文件路径处理,这两者结合起来使得任意 PHP 上传和远程代码执行成为可能。
当RSA 解密在消息处理过程中失败时,代码可以继续使用一个假值,这实际上会变成 AES/Rijndael 例程中可预测的“全空字节”密钥,从而允许攻击者构造服务器将接受的数据。
该插件还接受了解密有效载荷中的文件名,而没有进行适当的清理,从而允许目录遍历,使文件能够逃逸出预期的备份目录并落入可通过网络访问的位置。
WPvivid 在 0.9.124 版本中修复了该问题,方法是当解密密钥为空/false 时停止处理,并将上传限制为预期的备份扩展名(例如 zip/gz/tar/sql)。
| 场地 | 细节 |
|---|---|
| 漏洞 | 未经身份验证的任意文件上传 → 远程代码执行 |
| CVE/CVSS | CVE-2026-1357 / 9.8(严重) |
| 受影响的版本 | ≤ 0.9.123 |
| 已打补丁的版本 | 0.9.124 |
| 利用条件 | 已启用接收备份生成的密钥;最长有效期为 24 小时。 |
| 关键攻击面 | wpvivid_action=send_to_site上传路径 |
| 根本原因 | RSA解密失败,未停止 + 路径遍历/未清理的名称 |
管理员应更新至 0.9.124 版本,在不需要时禁用 receive-backup 密钥,轮换任何生成的密钥,并检查 Web 根目录,查看在启用密钥窗口周围是否创建了意外的 PHP 文件。
