Kerentanan kritis pada plugin WPvivid Backup & Migration untuk WordPress, yang diinstal di lebih dari 900.000 situs web, dapat dieksploitasi untuk mencapai eksekusi kode jarak jauh dengan mengunggah file sewenang-wenang tanpa otentikasi.
Masalah keamanan dilacak sebagai CVE-2026-1357 dan menerima skor tingkat keparahan 9,8. Ini berdampak pada semua versi plugin hingga 0.9.123 dan dapat menyebabkan pengambilalihan situs web secara menyeluruh.
Terlepas dari parahnya masalah ini, para peneliti di perusahaan keamanan WordPress Defiant mengatakan bahwa hanya situs dengan opsi non-default “terima cadangan dari situs lain” yang diaktifkan yang terkena dampak kritis.
Selain itu, penyerang memiliki jendela eksploitasi 24 jam, yang merupakan validitas kunci yang dihasilkan yang diperlukan oleh situs lain untuk mengirim file cadangan.
Persyaratan ini membatasi paparan yang realistis; namun, pluginnya adalah umum digunakan untuk migrasi situs dan transfer cadangan antar host, sehingga administrator situs web kemungkinan besar akan mengaktifkan fitur ini suatu saat nanti, setidaknya untuk sementara.
Peneliti Lucas Montes (NiRoX) melaporkan kerentanan terhadap Defiant pada 12 Januari. Penyebab utama adalah penanganan kesalahan yang tidak tepat dalam dekripsi RSA, ditambah dengan kurangnya sanitasi jalur.
Khususnya, ketika ‘openssl_private_decrypt()‘ gagal, plugin tidak menghentikan eksekusi dan malah meneruskan hasil yang gagal (salah) ke rutinitas AES (Rijndael).
Pustaka kriptografi memperlakukan ini sebagai string byte nol, menciptakan kunci enkripsi yang dapat diprediksi yang dapat digunakan penyerang untuk membuat muatan berbahaya yang akan diterima plugin.
Selain itu, plugin gagal membersihkan nama file yang diunggah dengan benar, sehingga memungkinkan penjelajahan direktori. Hal ini memungkinkan penulisan file di luar direktori cadangan yang dimaksudkan dan mengunggah file PHP berbahaya untuk eksekusi kode jarak jauh.
Defiant memberi tahu vendornya, WPVividPlugins, pada 22 Januari, setelah validasi eksploitasi bukti konsep yang disediakan. Mengatasi pembaruan keamanan CVE-2026-1357 dirilis dalam versi 0.9.124 pada 28 Januari.
Perbaikannya termasuk menambahkan tanda centang untuk menghentikan eksekusi jika dekripsi RSA gagal, menambahkan sanitasi nama file, dan membatasi unggahan hanya pada jenis file cadangan yang diizinkan, seperti ZIP, GZ, TAR, dan SQL.
Pengguna plugin WPvivid Backup & Migration WordPress harus menyadari risiko yang terkait dengan kerentanan dan meningkatkan ke versi 0.9.124 sesegera mungkin.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
