Aanvallers kunnen dankzij een kwetsbaarheid in een WordPress-plugin volledige sites overnemen.
Een ernstige beveiligingsfout in de WPvivid Backup-plugin voor WordPress kan aanvallers in staat stellen om zonder authenticatie kwaadaardige code uit te voeren en volledige websites over te nemen.
Ernstige fout in plugin
De kwetsbaarheid (CVE-2026-1357) treft alle versies van de plugin tot en met 0.9.123 en kreeg een CVSS-score van 9,8. De plugin is actief op meer dan 900.000 WordPress-sites wereldwijd en wordt veel gebruikt voor back-ups en migraties tussen hostingomgevingen, schrijft Bleeping Computer. Onderzoekers van Defiant, een beveiligingsbedrijf gespecialiseerd in WordPress, ontdekten dat aanvallers bestanden kunnen uploaden zonder authenticatie. Zo kunnen aanvallers code op afstand uitvoeren en zelfs de volledige site overnemen.
Volgens Defiant zijn vooral sites kwetsbaar waarbij de optie is ingeschakeld om back-ups van een andere site te gebruiken. Daarnaast kan de aanval maximaal 24 uur duren, zolang een gegenereerde sleutel geldig is. Ondanks deze vereisten vormt de aanval een reëel risico, omdat beheerders deze functie vaak tijdelijk activeren bij migraties of herstelacties.
Oorzaak en oplossing
De kern van het probleem ligt in foutieve foutafhandeling bij een decryptie en het ontbreken van een controle van bestandsnamen. Daarom ontstaat een voorspelbare encryptiesleutel die misbruik mogelijk maakt.
WPvividPlugins bracht op 28 januari een beveiligingsupdate uit in versie 0.9.124. Die controleert correct op decryptiefouten, beperkt toegestane bestandstypes en voorkomt het schrijven buiten de back-upmap. Beheerders wordt aangeraden om de plugin onmiddellijk te updaten naar versie 0.9.124 en te controleren of gevoelige functies onnodig zijn ingeschakeld.