90만 설치된 WordPress 플러그인, 중대한 RCE 취약점에 노출

Source: Bleeping Computer

Vulnerability Overview

• Affected plugin: WPvivid Backup & Migration
• CVE: CVE‑2026‑1357
• Severity: 9.8 (critical)
• Versions impacted: ≤ 0.9.123
• Fixed in: 0.9.124 (released January 28, 2026)

기본값이 아닌 “receive backup from another site” 옵션을 활성화한 사이트만이 심각한 영향을 받습니다. 악용 가능 기간은 24 시간으로, 이는 다른 사이트가 백업 파일을 전송하기 위해 필요한 키의 유효 기간입니다.

Technical Details

1. Improper RSA error handling

   • openssl_private_decrypt() 가 실패해도 플러그인은 실행을 계속하고 false 결과를 AES (Rijndael) 루틴에 전달합니다.
   • 암호화 라이브러리는 이를 널 바이트 문자열로 해석해, 공격자가 악용할 수 있는 예측 가능한 암호화 키를 생성합니다.

2. Insufficient filename sanitization

   • 업로드된 파일 이름이 제대로 정제되지 않아 디렉터리 트래버설이 가능합니다.
   • 이를 통해 의도된 백업 디렉터리 밖에 파일을 작성할 수 있으며, 악성 PHP 파일을 원격에서 실행할 수 있습니다.

이 두 취약점이 결합되어 공격자는 플러그인이 받아들일 수 있는 악성 페이로드를 제작하고, 임의 파일 업로드 및 RCE를 수행할 수 있습니다.

Impact

• Remote Code Execution – 공격자는 침해된 사이트에서 임의의 PHP 코드를 실행할 수 있습니다.
• Full Site Takeover – RCE를 통해 공격자는 워드프레스 설치 전체를 장악할 수 있습니다.
• Limited Exposure Window – 24시간 키 유효 기간으로 현실적인 공격 표면이 감소하지만, 마이그레이션이나 백업 중에 이 기능을 흔히 사용하므로 많은 사이트가 어느 시점에서는 취약해집니다.

Mitigation and Fix

• 플러그인을 버전 0.9.124 이상으로 업데이트하십시오. 이 버전에는 다음이 포함됩니다:

  • RSA 복호화에 실패하면 실행을 중단하는 검사.
  • 올바른 파일명 정제.
  • 허용된 백업 파일 유형(ZIP, GZ, TAR, SQL)만 업로드하도록 제한.

• “receive backup from another site” 옵션을 절대 필요하지 않은 경우 비활성화하십시오.

• 수상한 파일 업로드를 모니터링하고, 서버 로그에서 예상치 못한 활동을 검토하십시오.

References

• Plugin page:
• NVD entry for CVE‑2026‑1357:

Recommendation: WPvivid Backup & Migration을 사용하는 관리자는 즉시 0.9.124 버전으로 업그레이드하고, 필요하지 않은 경우 취약한 기능이 비활성화되어 있는지 확인하십시오.