Se és responsável pela gestão de um site WordPress, é provável que já te tenhas cruzado com o WPvivid Backup & Migration. Este plugin, utilizado para criar cópias de segurança e facilitar migrações entre alojamentos, está instalado em mais de 900.000 sites ativos. No entanto, uma descoberta recente de segurança veio lançar o alerta vermelho para os administradores: uma vulnerabilidade crítica pode permitir que atacantes assumam o controlo total da tua página.
O problema é sério. Classificada com a pontuação máxima de gravidade (9.8 em 10) no sistema CVSS, esta brecha de segurança, identificada como CVE-2026-1357, abre a porta à execução remota de código (RCE). Isto significa que, sob as condições certas, um hacker poderia carregar ficheiros maliciosos para o servidor sem precisar de qualquer tipo de autenticação, comprometendo totalmente a integridade da plataforma.
Uma janela de oportunidade perigosa
Apesar do cenário alarmante, há um detalhe que pode salvar muitos utilizadores: a falha apenas pode ser explorada se o site tiver ativada a opção "receber backup de outro site". Esta funcionalidade não vem ligada por defeito, mas é frequentemente utilizada durante processos de migração ou transferência de dados entre servidores.
A vulnerabilidade reside na forma como o plugin lida com a encriptação. Quando a função de desencriptação RSA falha, o sistema não interrompe o processo como deveria. Em vez disso, trata o erro como uma série de bytes nulos, gerando uma chave de encriptação previsível. Esta lacuna permite que agentes maliciosos contornem as proteções de segurança e enviem ficheiros arbitrários para o servidor. Para piorar, existe também um problema de sanitização de nomes de ficheiros, o que facilita ataques de "directory traversal", permitindo a escrita de dados fora das pastas de backup designadas.
No entanto, a janela de ataque é limitada. Para que a exploração seja bem-sucedida, o ataque tem de ocorrer dentro do período de validade da chave gerada para a transferência, que é de 24 horas. Ainda assim, dado que esta ferramenta é usada especificamente para mover sites, a probabilidade de esta funcionalidade estar ativa em momentos críticos é elevada.
Atualização é a única defesa
A boa notícia é que a equipa por trás do WPvivid agiu rapidamente. Após serem notificados pela empresa de segurança Defiant em janeiro, os programadores lançaram a versão 0.9.124, que corrige integralmente o problema. Esta nova versão implementa verificações adicionais que interrompem a execução em caso de falha na desencriptação e reforça a limpeza dos nomes dos ficheiros carregados, limitando-os a tipos seguros como ZIP ou SQL.
Se utilizas este plugin, a recomendação é imediata: verifica a versão instalada e atualiza para a mais recente disponível, conforme detalhado no registo de vulnerabilidades do NVD. Manter o software desatualizado, especialmente ferramentas com privilégios elevados como gestores de backup, é um risco que nenhum administrador deve correr.
Nenhum comentário
Seja o primeiro!