人気のWPvivid Backup & Migrationプラグインに存在する重大な脆弱性により、80万以上のWordPressウェブサイトがリモートコード実行(RCE)攻撃による完全な乗っ取りのリスクにさらされています。
CVE-2026-1357として追跡され、CVSSスケールで9.8と評価されるこの脆弱性は、認証されていない攻撃者が脆弱なサイトに任意のファイルをアップロードし、悪意のあるPHPコードを実行することを可能にします。
この問題はWPvivid Backupバージョン0.9.123以下に影響を与え、プラグインのRSA復号化プロセスにおける不適切なエラー処理と、ファイルパスのサニタイゼーション欠如に起因しています。
プラグインがセッションキーの復号化を試み失敗した際、実行を停止せず、代わりにfalse値をAES暗号初期化ルーチンに渡します。
暗号ライブラリはこのfalse値をnullバイトの文字列として解釈し、攻撃者が予測可能なnullバイトキーを使用してペイロードを暗号化できるようにします。
同時に、暗号化されたペイロードから抽出されたファイル名は適切にサニタイズされず、ディレクトリトラバーサルによりバックアップディレクトリを脱出し、公開アクセス可能な場所にファイルを書き込むことが可能になります。
この脆弱性を発見し、Wordfenceバグバウンティプログラムを通じて責任を持って報告したLucas Montes (NiRoX)氏に感謝します。
| 項目 | 詳細 |
|---|---|
| CVSS評価 | 9.8 (重大) |
| CVE-ID | CVE-2026-1357 |
| 影響を受けるバージョン | <= 0.9.123 |
| パッチ適用バージョン | 0.9.124 |
| 報奨金 | $2,145.00 |
wpvivid_action=send_to_siteパラメータを悪用することで、認証されていない攻撃者は任意のPHPファイルをアップロードし、ブラウザで直接呼び出すことができ、リモートコード実行とサイト全体の侵害につながる可能性があります。
WordPressバックアッププラグインの脆弱性
任意のファイルアップロードの脆弱性は一般的にウェブシェルの展開、バックドアの設置、またはさらなるマルウェアのインストールに利用されます。
プラグインは設定で生成されたキーを使用して$key値をRSA復号化します。値が正しくない場合、この$key値はfalseになります。
ただし、生成されたキーを使用して別のサイトがバックアップを送信できる機能を明示的に有効にしているサイト所有者にとって、露出は最も重大です。この機能はデフォルトで無効になっており、キーの最大有効期間は24時間に制限されています。
この発見に対して、研究者は2,145ドルの報奨金を受け取りました。これは、WordPressプラグインのセキュリティ強化におけるインセンティブプログラムの役割の高まりを強調しています。
Wordfenceは2026年1月22日にPremium、Care、Responseの顧客向けにファイアウォールルールを発行し、無料ユーザーへの保護は2026年2月21日に展開される予定です。
ベンダーはdecrypt_message()関数の$key値に空チェックを追加することでこの問題にパッチを適用しました。
decrypt_message()関数 (出典: Wordfence)。1月22日に連絡を受けた後、WPvivid開発チームは翌日対応し、2026年1月28日に完全にパッチが適用されたバージョン0.9.124をリリースしました。
修正では、復号化の失敗が即座に処理を停止することを確実にするチェックが追加され、正規のバックアップ形式のみが受け入れられるよう厳格なファイル拡張子検証が導入されました。
WPvivid Backupを使用しているすべてのWordPressサイト所有者は、この重大なリモートコード実行リスクを軽減するため、できるだけ早くバージョン0.9.124以降にアップデートすることを強く推奨します。
翻訳元: https://gbhackers.com/wordpress-backup-plugin-vulnerability/
