WordPress Backup Plugin Vulnerability Exposes 800,000 Sites to Remote Code Execution Attacks
2026/02/12 CyberSecurityNews — WPvivid Backup & Migration WordPress プラグインに存在する重大な脆弱性により、未認証の攻撃者がファイルをアップロードし、サーバ上でリモートコード実行を可能にする。この経路からの攻撃により、サイトの完全な乗っ取りに至るケースもある。この脆弱性 CVE-2026-1357 (CVSS:9.8:Critical) の影響が及ぶ範囲は、このプラグインのバージョン 0.9.123 以下であり、修正版は 0.9.124 として提供されている。
このプラグインの設定でキーを生成し、他サイトからのバックアップを受信する機能を有効化している場合に、最も深刻なリスクが発生する。この機能はデフォルトでは無効化されており、生成キーの有効期限は最長で 24 時間に設定されている。
脆弱なフローにおいて、バックアップ受信エンドポイントを標的とする攻撃者は、wpvivid_action=send_to_site パラメータに関連付けられたアップロード経路を悪用できる。
Wordfence の研究者によると、この脆弱性は、暗号処理におけるエラー・ハンドリングの誤りと、安全でないファイルパス処理の組み合わせに起因するという。それにより、任意の PHP アップロードおよび リモートコード実行 (RCE) が可能となる。
アップロードの仕組み
メッセージ処理中に RSA 復号が失敗した場合であっても、コード上では false 値の状態での処理が継続されてしまう。その結果として、予測が可能な “すべてが null バイト” キーとして AES/Rijndael ルーチンで取り扱われ、サーバで受理される悪意のデータの生成が、攻撃者に対して許されてしまう。
さらに、このプラグインは、復号済みペイロードから取得したファイル名を適切にサニタイズせず受け入れていた。そのためディレクトリ・トラバーサルが可能となり、意図されたバックアップ・ディレクトリを逸脱したファイルが、Web からアクセス可能な場所へ配置され得る。
すでに WPvivid は、バージョン 0.9.124 をリリースし、復号キーが empty または false の場合に処理を停止するよう修正した。また、アップロード・ファイルの記述子を、想定される “zip/gz/tar/sql” などに制限した。
| Field | Details |
|---|---|
| Vulnerability | Unauthenticated arbitrary file upload → RCE |
| CVE / CVSS | CVE-2026-1357 / 9.8 (Critical) |
| Affected versions | ≤ 0.9.123 |
| Patched version | 0.9.124 |
| Exploit condition | Receive-backup generated key enabled; max 24h expiry |
| Key attack surface | wpvivid_action=send_to_site upload path |
| Root cause | RSA decrypt failure not stopping + path traversal/unsanitized names |
管理者にとって必要なことは、バージョン 0.9.124 への速やかなアップデートである。また、不要時には receive-backup キーを無効化し、生成済みキーをローテーションすることが推奨される。さらに、生成キーが有効化されている期間中に、Web ルート配下で生成された不審な PHP ファイルの存在を確認すべきである。
この問題の原因は、バックアップ・プラグイン WPvivid において、データの暗号を解く際の例外処理と、保存されるファイル名のチェックという、2 つの重要な安全機能が不十分にしか働いていなかったことにあります。一つ目の不備は、外部から届いたデータの暗号 (RSA) 解除に失敗したときに、プログラムが処理を中断せずに “false” 状態のまま、強引に先へ進めてしまったことです。それにより、本来は厳重に守られるべき通信が、誰でも推測できる鍵で開けられる状態になっています。二つ目の不備は、届けられたファイル名の中にフォルダを遡る記号 “../ など” が含まれていても、それを適切に排除せず受け入れてしまったことです。このディレクトリ・トラバーサルと呼ばれる欠陥により、攻撃者はバックアップ用の専用フォルダを飛び越えて、Web サーバ上の本来はアクセス不能な場所にファイルを送り込むことが可能になります。ご利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.