¿Qué vulnerabilidad crítica afecta a WPvivid Backup & Migration?

La vulnerabilidad registrada como CVE-2026-1357 permite la ejecución remota de código (RCE) mediante la subida de archivos arbitrarios, afectando todas las versiones hasta la 0.9.123 del plugin.

¿Qué riesgo tiene para mi sitio web?

Un atacante podría tomar control completo del sitio, subir archivos PHP maliciosos y ejecutar código en el servidor. La vulnerabilidad es crítica (puntuación 9.8/10) y se explota principalmente si la opción 'receive backup from another site' está habilitada.

¿Qué versión corrige la vulnerabilidad?

El plugin fue actualizado a la versión 0.9.124 el 28 de enero de 2026, incluyendo la corrección de la desencriptación RSA y la sanitización de nombres de archivos para prevenir RCE.

¿Qué medidas debo tomar para proteger mi sitio?

Actualizar inmediatamente a WPvivid Backup & Migration 0.9.124 o superior, evitar habilitar funciones de backup externo innecesarias, restringir permisos de subida y considerar plugins de seguridad adicionales que monitoricen actividad inusual.

¿La vulnerabilidad afecta a todos los usuarios por igual?

No, afecta críticamente a sitios que tengan activada la opción 'receive backup from another site'. Esta opción no está habilitada por defecto, pero cuando se activa temporalmente para migraciones, el riesgo es alto.

¿Quién descubrió la vulnerabilidad?

La vulnerabilidad fue reportada por el investigador Lucas Montes (NiRoX) a Defiant el 12 de enero de 2026, lo que permitió al vendor WPVividPlugins publicar la corrección rápidamente.

Vulnerabilidad crítica en WPvivid Backup & Migration afecta a 900.000 sitios de WordPress | Noticias Hacking y Seguridad Informática

Q: ¿Cómo se produce el ataque?

Se aprovechan dos problemas: manejo incorrecto de errores en la desencriptación RSA y falta de sanitización de nombres de archivos, permitiendo travesía de directorios y ejecución de archivos maliciosos.

Fallo crítico de seguridad ha sido descubierto en el plugin WPvivid Backup & Migration para WordPress, utilizado por más de 900.000 sitios web.

Esta vulnerabilidad, permite a los atacantes ejecutar código de forma remota (RCE) mediante la subida de archivos arbitrarios, incluso sin autenticación, poniendo en riesgo la integridad de los sitios afectados.

¿De qué trata esta vulnerabilidad?

La vulnerabilidad registrada como CVE-2026-1357, tiene una puntuación de gravedad de 9.8/10, lo que se identifica como un riesgo altamente crítico.

Afecta todas las versiones hasta la 0.9.123 y podría permitir a un posible atacante:

Tomar el control completo del sitio web.
Subir archivos maliciosos, incluyendo PHP, para ejecutar código en el servidor.
Explotar el plugin durante ventanas de 24 horas, aprovechando las claves de backup generadas temporalmente.

Es importante resaltar que, según los investigadores de Defiant, la vulnerabilidad solo afecta críticamente a sitios que tengan activada la opción “receive backup from another site”, una opción que en principio NO se encuentra habilitada por defecto dentro del plugin.

¿Cómo se produce el ataque?

El problema se encuentra en dos áreas críticas del plugin:

1. Manejo incorrecto de errores en la desencriptación RSA

Cuando la función openssl_private_decrypt() falla, WPvivid no detiene la ejecución y pasa un valor false al algoritmo AES. Esto se interpreta como un conjunto de bytes nulos predecibles, lo que permite que un atacante genere claves de cifrado maliciosas.

2. Falta de sanitización de nombres de archivos

El plugin no valida correctamente los nombres de archivos subidos, permitiendo travesía de directorios. Esto significa que un atacante puede colocar archivos fuera del directorio de backup y ejecutar archivos PHP maliciosos, obteniendo RCE.

¿Qué impacto real puede tener esto sobre tu sitio web?

Aunque la ventana de explotación es limitada a 24 horas por clave, la vulnerabilidad es especialmente peligrosa porque:

Los administradores suelen habilitar la opción de recibir backups de otro sitio para migraciones o transferencias, incluso si solo es temporalmente.
El RCE potencial permite comprometer por completo un sitio web, incluyendo accesos a bases de datos y control del servidor.

Actualización y solución

El investigador Lucas Montes (NiRoX) reportó la vulnerabilidad a Defiant el 12 de enero de 2026. Tras verificar la prueba de concepto, el vendor WPVividPlugins publicó la corrección en la versión 0.9.124, el 28 de enero de 2026.

Las medidas aplicadas incluyen:

Detener la ejecución si falla la desencriptación RSA.
Sanitización de nombres de archivo, evitando travesía de directorios.
Restricción de tipos de archivos permitidos, limitando la subida solo a ZIP, GZ, TAR y SQL.

Los usuarios deben actualizar inmediatamente a la versión 0.9.124 del plugin para proteger sus sitios.

Recomendaciones de seguridad

Para proteger tu WordPress frente a este tipo de vulnerabilidades:

Actualizar WPvivid Backup & Migration a la versión 0.9.124 o superior.
Evitar habilitar funciones de backup externo innecesarias.
Restringir permisos de subida y revisar los directorios de backup.
Considerar plugins de seguridad adicionales que monitoricen actividades inusuales.

Conclusión

La vulnerabilidad CVE-2026-1357 demuestra que incluso plugins muy populares pueden tener fallos críticos. La acción inmediata es actualizar el plugin y auditar la configuración de backup, especialmente si la opción de recibir backups de otro sitio fue habilitada.

Recuerda, que mantener los plugins al día sigue siendo la mejor práctica para proteger WordPress de ataques de RCE.