Vulnerabilidade de Upload Arbitrário no Plugin WPvivid Backu
Uma nova vulnerabilidade no WPvivid Backup permite que atacantes façam upload de arquivos arbitrários em mais de 800.000 sites WordPress. Atualize para a versão mais recente!
800.000 Sites WordPress Afetados por Vulnerabilidade de Upload de Arquivo Arbitrário no Plugin WPvivid Backup
No dia 12 de janeiro de 2026, recebemos uma denúncia sobre uma vulnerabilidade de Upload de Arquivo Arbitrário no WPvivid Backup, um plugin do WordPress com mais de 800.000 instalações ativas. Esta vulnerabilidade pode ser explorada por atacantes não autenticados para fazer o upload de arquivos arbitrários em um site vulnerável, permitindo a execução remota de código, o que geralmente é utilizado para assumir completamente o controle do site. É importante destacar que essa vulnerabilidade impacta criticamente apenas os usuários que possuem uma chave gerada nas configurações do plugin que permite que outro site envie um backup ao seu site. Esta funcionalidade é desativada por padrão, e a expiração da chave pode ser configurada para no máximo 24 horas.
Reconhecimento ao Pesquisador
Parabéns a Lucas Montes (NiRoX), que descobriu e relatou essa vulnerabilidade de forma responsável através do Programa de Recompensas de Bugs da Wordfence. Essa vulnerabilidade foi reportada ao nosso programa apenas cinco dias após sua introdução. O pesquisador recebeu uma recompensa de $2.145,00 por essa descoberta. Nossa missão é garantir a segurança do WordPress através de uma defesa em profundidade, por isso estamos investindo em pesquisas de vulnerabilidades de qualidade e colaborando com pesquisadores desse calibre através do nosso Programa de Recompensas de Bugs.
Informações sobre a Atualização
Os usuários do Wordfence Premium, Wordfence Care e Wordfence Response receberam uma regra de firewall para se proteger contra quaisquer explorações direcionadas a essa vulnerabilidade no dia 22 de janeiro de 2026. Os sites que utilizam a versão gratuita do Wordfence receberão a mesma proteção 30 dias depois, em 21 de fevereiro de 2026.
Resposta da Equipe WPvivid
Entramos em contato com a equipe do WPvivid no dia 22 de janeiro de 2026 e recebemos uma resposta no dia seguinte. Após fornecer detalhes completos sobre a divulgação, o desenvolvedor lançou o patch no dia 28 de janeiro de 2026. Gostaríamos de elogiar a equipe do WPvivid pela resposta rápida e pela correção transparente e pontual.
Recomendação de Atualização
Instamos todos os usuários a atualizar seus sites com a versão mais recente do WPvivid Backup, versão 0.9.124 no momento desta publicação, o mais rápido possível.
📢 Você sabia que a Wordfence realiza um Programa de Recompensa de Bugs para todos os plugins e temas do WordPress sem custo para os desenvolvedores? Pesquisadores podem ganhar até $31.200 por vulnerabilidade para todas as vulnerabilidades em escopo submetidas ao nosso Programa de Recompensa de Bugs! Encontre uma vulnerabilidade, envie os detalhes diretamente para nós, e nós cuidamos do resto.
Resumo da Vulnerabilidade pelo Wordfence Intelligence
O plugin Migração, Backup, Staging – WPvivid Backup & Migration para WordPress é vulnerável a Upload de Arquivo Arbitrário Não Autenticado nas versões até e incluindo 0.9.123. Isso se deve ao tratamento inadequado de erros no processo de descriptografia RSA combinado com a falta de sanitização de caminho ao escrever arquivos enviados. Quando o plugin falha em descriptografar uma chave de sessão usando openssl_private_decrypt, o código malicioso pode ser executado no servidor de destino, comprometendo a segurança do site.
📰 Fonte Original
Este artigo foi baseado em informações publicadas por Wordfence em 10/02/2026.
🔗 Ler artigo original →
