){kind=link}
Uma vulnerabilidade gravíssima foi descoberta no plugin WPvivid Backup & Migration, usado por mais de 900 mil sites WordPress em todo o mundo. A falha, identificada como CVE-2026-1357, recebeu pontuação de 9.8 em uma escala que vai até 10, sendo classificada como crítica pelos especialistas em segurança.
Plugins são extensões que adicionam funcionalidades extras ao WordPress, neste caso, o WPvivid permite fazer cópias de segurança e migrar sites entre servidores.
smart_display
Nossos vídeos em destaque
O mais alarmante é que a vulnerabilidade permite RCE (Remote Code Execution, ou Execução Remota de Código), ou seja, qualquer cibercriminoso consegue fazer o servidor executar comandos e programas maliciosos como se fosse o próprio dono do site.
Com RCE, criminosos conseguem executar esses comandos no servidor da vítima sem precisar de senha ou qualquer tipo de autenticação, assumindo controle total sobre o site.
Como funciona o ataque
A vulnerabilidade foi descoberta pelo pesquisador Lucas Montes (NiRoX) e reportada à Defiant, empresa especializada em segurança para WordPress, em 12 de janeiro. A falha está presente em todas as versões do plugin até a 0.9.123 e envolve uma combinação letal de erros no código.
O problema começa na funcionalidade “receber backup de outro site” (receive backup from another site), usada quando administradores querem transferir arquivos de backup entre diferentes instalações WordPress. Embora essa função não esteja ativada por padrão, ela é comumente habilitada durante migrações de sites e transferências entre hospedagens.
Quando essa funcionalidade está ativa, o plugin falha ao validar corretamente os dados criptografados recebidos. Criptografia é o processo de embaralhar informações para que apenas quem tenha a “chave” correta possa lê-las.
A descriptografia RSA é o processo inverso: usar uma chave privada para desembaralhar dados que foram criptografados com uma chave pública. RSA é um dos sistemas de criptografia mais usados na internet.
Especificamente, quando a descriptografia RSA não funciona, ou seja, quando o plugin não consegue “abrir o cofre” com a chave correta, o código não interrompe a execução como deveria. Em vez disso, passa um valor de erro para a próxima etapa do processo, criando uma chave de criptografia composta apenas de zeros.
Com essa chave previsível em mãos, hackers podem criar arquivos maliciosos criptografados que o plugin aceita como legítimos. Mas o plugin também não valida corretamente os nomes dos arquivos recebidos, permitindo que atacantes usem uma técnica chamada travessia de diretórios para salvar arquivos PHP maliciosos em diretórios públicos do site.
Durante a travessia de diretórios o plugin é programado para salvar arquivos exclusivamente na pasta designada para backups, mas o invasor envia um arquivo com o nome “../../themes/malware.php”. A sequência de dois pontos seguidos de barra (../) é interpretada pelos sistemas operacionais como um comando para retroceder um nível na hierarquia de diretórios.
Ao repetir essa sequência, o atacante consegue “escapar” do diretório protegido de backups e gravar o arquivo em qualquer localização do servidor, incluindo pastas publicamente acessíveis via internet.
Takeover completo do site
Uma vez que o arquivo malicioso está no servidor, o hacker simplesmente acessa esse arquivo através do navegador. Aqui entra outro detalhe importante: PHP é a linguagem de programação em que o WordPress é escrito.
Arquivos PHP executáveis são programas que o servidor web roda automaticamente quando alguém os acessa. É diferente de uma imagem ou documento, quando você acessa um arquivo .php, o servidor executa os comandos que estão dentro dele.
No caso desta vulnerabilidade, o hacker consegue colocar um arquivo PHP malicioso em uma pasta pública do site. Quando ele acessa esse arquivo pelo navegador (por exemplo, visitando sitedavitima.com/wp-content/themes/malware.php), o servidor executa o código PHP inserido, e a partir daí o atacante tem controle total.
Ele pode roubar dados do banco de dados, modificar o conteúdo do site, criar contas administrativas, instalar backdoors (portas dos fundos são códigos ocultos que permitem ao invasor voltar ao sistema mesmo depois que a falha original for corrigida) para acesso futuro ou até usar o servidor comprometido para atacar outros sistemas.
“A vulnerabilidade pode levar a um takeover completo do site”, alertam os pesquisadores da Defiant. Esse tipo de ataque é particularmente perigoso porque não deixa rastros óbvios inicialmente — o invasor já está dentro do sistema antes que qualquer alerta seja disparado.
Janela de 24 horas torna exploração mais complexa
Apesar da gravidade extrema, existem alguns fatores que limitam a exploração em massa da vulnerabilidade. Primeiro, como mencionado, a funcionalidade vulnerável não está ativada por padrão, os administradores precisam habilitá-la manualmente. Segundo, quando ativada, o plugin gera uma chave válida por apenas 24 horas.
No entanto, especialistas alertam que essas limitações são apenas barreiras parciais. Como o WPvivid é usado especificamente para migrações e transferências de backup, é muito provável que administradores ativem a função vulnerável em algum momento, criando janelas de oportunidade para ataques. Além disso, a falha criptográfica permite contornar parcialmente a proteção da chave de 24 horas.
Correção já está disponível
Após a validação da vulnerabilidade com provas de conceito, a Defiant notificou a WPVividPlugins, desenvolvedora do plugin, em 22 de janeiro. A correção foi lançada rapidamente na versão 0.9.124, em 28 de janeiro.
A atualização implementa três camadas de proteção. Primeiro ela adiciona verificação para interromper a execução se a descriptografia RSA falhar, implementa sanitização adequada dos nomes de arquivo para impedir escapadas de diretório, e restringe os uploads apenas a tipos de arquivo legítimos para backup (ZIP, GZ, TAR e SQL), bloqueando arquivos PHP executáveis que poderiam conter código malicioso.
Sanitização é o processo de “limpar” dados recebidos, removendo caracteres perigosos e validando que o nome do arquivo não contém truques como o directory traversal.
Especialistas recomendam que usuários do WPvivid Backup & Migration atualizem imediatamente para a versão 0.9.124. Com mais de 900 mil instalações potencialmente vulneráveis, é questão de tempo até que grupos de hackers criem scripts automatizados para explorar sites que ainda não foram atualizados.
Para verificar se seu site WordPress está usando o plugin e qual versão está instalada, acesse o painel administrativo, vá em “Plugins” e procure por “WPvivid”. Se a versão for 0.9.123 ou anterior, atualize imediatamente. Mesmo que a funcionalidade “receive backup from another site” não esteja ativa no momento, a presença do código vulnerável já representa um risco.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.