WordPress 插件（90 万次安装）易受关键 RCE 漏洞影响

Source: Bleeping Computer

漏洞概述

• 受影响插件： WPvivid Backup & Migration
• CVE： CVE‑2026‑1357
• 严重程度： 9.8（关键）
• 受影响版本： ≤ 0.9.123
• 已修复版本： 0.9.124（2026 年 1 月 28 日发布）

仅在启用了非默认的 “从其他站点接收备份” 选项的站点会受到关键影响。利用窗口限制为 24 小时，即其他站点发送备份文件所需的生成密钥的有效期。

技术细节

1. RSA 错误处理不当

   • 当 openssl_private_decrypt() 失败时，插件仍继续执行并将 false 结果传递给 AES（Rijndael）例程。
   • 加密库将其解释为一串空字节，产生可预测的加密密钥，攻击者可利用该密钥进行攻击。

2. 文件名消毒不足

   • 上传的文件名未被正确消毒，导致目录遍历。
   • 这使得可以在预期的备份目录之外写入文件，包括可被远程执行的恶意 PHP 文件。

上述缺陷共同允许攻击者构造插件接受的恶意负载，从而实现任意文件上传和远程代码执行（RCE）。

影响

• 远程代码执行 – 攻击者可以在受影响站点上执行任意 PHP 代码。
• 完整站点接管 – 通过 RCE，攻击者能够完全控制 WordPress 安装。
• 暴露窗口受限 – 24 小时的密钥有效期降低了实际攻击面，但该功能在迁移或备份过程中常被启用，使得许多站点在某些时刻会变得脆弱。

缓解与修复

• 更新插件至 0.9.124 或更高版本，更新内容包括：

  • 在 RSA 解密失败时中止执行的检查。
  • 正确的文件名消毒。
  • 仅允许上传备份文件类型（ZIP、GZ、TAR、SQL）。

• 除非绝对必要，禁用 “从其他站点接收备份” 选项。

• 监控可疑文件上传并检查服务器日志中异常活动。

参考资料

• 插件页面：
• CVE‑2026‑1357 的 NVD 条目：

建议： 使用 WPvivid Backup & Migration 的管理员应立即升级到 0.9.124 版本，并确认已禁用该易受攻击的功能（除非确有需求）。