Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
È stata scoperta una vulnerabilità critica nel plugin WPvivid Backup & Migration per WordPress, che causa l’esecuzione di codice remoto senza autenticazione. Il problema minaccia oltre 900.000 siti web che utilizzano il plugin.
Alla vulnerabilità è stato assegnato l’identificatore CVE-2026-1357 e ha ricevuto un punteggio CVSS di 9,8. Il bug interessa tutte le versioni del plugin fino alla 0.9.123 e, nel peggiore dei casi, può portare alla compromissione completa e all’acquisizione del sito web vulnerabile.
 Cybersecurity Awareness efficace? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel (giunta al sesto episodio), l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Contattaci tramite WhatsApp al numero 375 593 1011 per saperne di più e richiedere informazioni oppure alla casella di posta graphicnovel@redhotcyber.com
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il problema è stato scoperto dal ricercatore Lucas Montes, noto con il soprannome NiRoX, che lo ha segnalato a Defiant il 12 gennaio 2026.
Gli esperti più sfrontati scrivono che la minaccia non è poi così grave. La vulnerabilità rappresenta una minaccia reale solo per i siti web con l’opzione “ricevi backup da un altro sito” abilitata. Gli aggressori hanno solo 24 ore per sfruttare la vulnerabilità, ovvero il periodo di validità della chiave necessaria per trasferire i backup tra siti web.
Tuttavia, sottolineano che il plugin viene spesso utilizzato specificamente per le migrazioni di siti web e il trasferimento di backup tra provider di hosting, quindi gli amministratori spesso abilitano questa funzionalità almeno temporaneamente.
La radice del problema risiede nella gestione errata degli errori durante la decrittazione RSA, unita alla mancanza di convalida del percorso del file. Quando la funzione openssl_private_decrypt() fallisce, il plugin non interrompe l’esecuzione, ma passa il risultato non riuscito (false) alla routine AES (Rijndael). La libreria crittografica interpreta questo risultato come una stringa di byte nulli, creando una chiave di crittografia prevedibile che un aggressore può utilizzare per creare payload dannosi.
Inoltre, il plugin non puliva correttamente i nomi dei file caricati, aprendo la porta ad attacchi di tipo path traversal. Ciò significa che gli aggressori potevano scrivere file arbitrari al di fuori della directory di backup, causando l’esecuzione di codice remoto.
Gli sviluppatori di WPVividPlugins hanno ricevuto la notifica della vulnerabilità il 22 gennaio e il 28 gennaio è stata rilasciata una patch che risolve il problema CVE-2026-1357 nella versione 0.9.124. La patch ha aggiunto un controllo per interrompere l’esecuzione in caso di fallimento della decrittazione RSA, ha ripulito i nomi dei file e ha limitato i download ai tipi di file approvati (come ZIP, GZ, TAR e SQL).
Si consiglia vivamente agli utenti del plugin WPvivid Backup & Migration di eseguire l’aggiornamento alla versione 0.9.124 il prima possibile.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
