sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Motorista de Porsche que morreu em acidente recebe homenagens de universidade e colegas
12 de julho de 2026
Zenvo Aurora usa quatro turbos para ser o V12 de rua mais potente do mundo
12 de julho de 2026
Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana
12 de julho de 2026
Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo
12 de julho de 2026
domingo, julho 12, 2026
Top Posts
Motorista de Porsche que morreu em acidente recebe...
Zenvo Aurora usa quatro turbos para ser o...
Kingdom Come: Deliverance II de graça, coletânea de...
Robert Pattinson compara seu papel em A Odisseia...
Inglaterra vence Noruega e garante vaga na semifinal
Argentina elimina Suíça e enfrenta Inglaterra na semifinal
O velho hábito de desligar o ar-condicionado do...
Nova frente fria chega hoje ao interior de...
Unicamp constrói Vila das Startups para abrigar mais...
Polícia busca motociclista que atropelou e matou idosa...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Motorista de Porsche que morreu em acidente recebe homenagens de universidade e colegas
12 de julho de 2026
Zenvo Aurora usa quatro turbos para ser o V12 de rua mais potente do mundo
12 de julho de 2026
Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana
12 de julho de 2026
Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo
12 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Motorista de Porsche que morreu em acidente recebe homenagens de universidade e colegas
12 de julho de 2026
Zenvo Aurora usa quatro turbos para ser o V12 de rua mais potente do mundo
12 de julho de 2026
Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana
12 de julho de 2026
Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo
12 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

900 mil sites WordPress estão vulneráveis a invasão por falha em plugin

por SampaNews 13 de fevereiro de 2026
13 de fevereiro de 2026
41

Uma vulnerabilidade gravíssima foi descoberta no plugin WPvivid Backup & Migration, usado por mais de 900 mil sites WordPress em todo o mundo. A falha, identificada como CVE-2026-1357, recebeu pontuação de 9.8 em uma escala que vai até 10, sendo classificada como crítica pelos especialistas em segurança.

Plugins são extensões que adicionam funcionalidades extras ao WordPress, neste caso, o WPvivid permite fazer cópias de segurança e migrar sites entre servidores.

smart_display

Nossos vídeos em destaque

O mais alarmante é que a vulnerabilidade permite RCE (Remote Code Execution, ou Execução Remota de Código), ou seja, qualquer cibercriminoso consegue fazer o servidor executar comandos e programas maliciosos como se fosse o próprio dono do site.

Com RCE, criminosos conseguem executar esses comandos no servidor da vítima sem precisar de senha ou qualquer tipo de autenticação, assumindo controle total sobre o site.

Como funciona o ataque

A vulnerabilidade foi descoberta pelo pesquisador Lucas Montes (NiRoX) e reportada à Defiant, empresa especializada em segurança para WordPress, em 12 de janeiro. A falha está presente em todas as versões do plugin até a 0.9.123 e envolve uma combinação letal de erros no código.

O problema começa na funcionalidade “receber backup de outro site” (receive backup from another site), usada quando administradores querem transferir arquivos de backup entre diferentes instalações WordPress. Embora essa função não esteja ativada por padrão, ela é comumente habilitada durante migrações de sites e transferências entre hospedagens.

Quando essa funcionalidade está ativa, o plugin falha ao validar corretamente os dados criptografados recebidos. Criptografia é o processo de embaralhar informações para que apenas quem tenha a “chave” correta possa lê-las.

A descriptografia RSA é o processo inverso: usar uma chave privada para desembaralhar dados que foram criptografados com uma chave pública. RSA é um dos sistemas de criptografia mais usados na internet.

Especificamente, quando a descriptografia RSA não funciona, ou seja, quando o plugin não consegue “abrir o cofre” com a chave correta, o código não interrompe a execução como deveria. Em vez disso, passa um valor de erro para a próxima etapa do processo, criando uma chave de criptografia composta apenas de zeros.

Com essa chave previsível em mãos, hackers podem criar arquivos maliciosos criptografados que o plugin aceita como legítimos. Mas o plugin também não valida corretamente os nomes dos arquivos recebidos, permitindo que atacantes usem uma técnica chamada travessia de diretórios para salvar arquivos PHP maliciosos em diretórios públicos do site.

Durante a travessia de diretórios o plugin é programado para salvar arquivos exclusivamente na pasta designada para backups, mas o invasor envia um arquivo com o nome “../../themes/malware.php”. A sequência de dois pontos seguidos de barra (../) é interpretada pelos sistemas operacionais como um comando para retroceder um nível na hierarquia de diretórios.

Ao repetir essa sequência, o atacante consegue “escapar” do diretório protegido de backups e gravar o arquivo em qualquer localização do servidor, incluindo pastas publicamente acessíveis via internet.

Takeover completo do site

Uma vez que o arquivo malicioso está no servidor, o hacker simplesmente acessa esse arquivo através do navegador. Aqui entra outro detalhe importante: PHP é a linguagem de programação em que o WordPress é escrito.

Arquivos PHP executáveis são programas que o servidor web roda automaticamente quando alguém os acessa. É diferente de uma imagem ou documento, quando você acessa um arquivo .php, o servidor executa os comandos que estão dentro dele.

No caso desta vulnerabilidade, o hacker consegue colocar um arquivo PHP malicioso em uma pasta pública do site. Quando ele acessa esse arquivo pelo navegador (por exemplo, visitando sitedavitima.com/wp-content/themes/malware.php), o servidor executa o código PHP inserido, e a partir daí o atacante tem controle total.

Ele pode roubar dados do banco de dados, modificar o conteúdo do site, criar contas administrativas, instalar backdoors (portas dos fundos são códigos ocultos que permitem ao invasor voltar ao sistema mesmo depois que a falha original for corrigida) para acesso futuro ou até usar o servidor comprometido para atacar outros sistemas.

“A vulnerabilidade pode levar a um takeover completo do site”, alertam os pesquisadores da Defiant. Esse tipo de ataque é particularmente perigoso porque não deixa rastros óbvios inicialmente — o invasor já está dentro do sistema antes que qualquer alerta seja disparado.

Janela de 24 horas torna exploração mais complexa

Apesar da gravidade extrema, existem alguns fatores que limitam a exploração em massa da vulnerabilidade. Primeiro, como mencionado, a funcionalidade vulnerável não está ativada por padrão, os administradores precisam habilitá-la manualmente. Segundo, quando ativada, o plugin gera uma chave válida por apenas 24 horas.

No entanto, especialistas alertam que essas limitações são apenas barreiras parciais. Como o WPvivid é usado especificamente para migrações e transferências de backup, é muito provável que administradores ativem a função vulnerável em algum momento, criando janelas de oportunidade para ataques. Além disso, a falha criptográfica permite contornar parcialmente a proteção da chave de 24 horas.

Correção já está disponível

Após a validação da vulnerabilidade com provas de conceito, a Defiant notificou a WPVividPlugins, desenvolvedora do plugin, em 22 de janeiro. A correção foi lançada rapidamente na versão 0.9.124, em 28 de janeiro.

A atualização implementa três camadas de proteção. Primeiro ela adiciona verificação para interromper a execução se a descriptografia RSA falhar, implementa sanitização adequada dos nomes de arquivo para impedir escapadas de diretório, e restringe os uploads apenas a tipos de arquivo legítimos para backup (ZIP, GZ, TAR e SQL), bloqueando arquivos PHP executáveis que poderiam conter código malicioso.

Sanitização é o processo de “limpar” dados recebidos, removendo caracteres perigosos e validando que o nome do arquivo não contém truques como o directory traversal.

Especialistas recomendam que usuários do WPvivid Backup & Migration atualizem imediatamente para a versão 0.9.124. Com mais de 900 mil instalações potencialmente vulneráveis, é questão de tempo até que grupos de hackers criem scripts automatizados para explorar sites que ainda não foram atualizados.

Para verificar se seu site WordPress está usando o plugin e qual versão está instalada, acesse o painel administrativo, vá em “Plugins” e procure por “WPvivid”. Se a versão for 0.9.123 ou anterior, atualize imediatamente. Mesmo que a funcionalidade “receive backup from another site” não esteja ativa no momento, a presença do código vulnerável já representa um risco.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Região de Campinas registra primeira morte por dengue em 2026
próxima postagem
15 funcionários de supermercado da região são internados após vazamento de gás

Você também pode gostar

Kingdom Come: Deliverance II de graça, coletânea de...

12 de julho de 2026

Robert Pattinson compara seu papel em A Odisseia...

12 de julho de 2026

Epic Games libera novo jogo grátis no celular!...

12 de julho de 2026

Monitor 24 polegadas: para quem é indicado e...

12 de julho de 2026

POSTS MAIS RECENTES

  • Motorista de Porsche que morreu em acidente recebe homenagens de universidade e colegas
  • Zenvo Aurora usa quatro turbos para ser o V12 de rua mais potente do mundo
  • Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana
  • Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo
  • Inglaterra vence Noruega e garante vaga na semifinal

Siga-nos

  • Recente
  • Popular
  • Motorista de Porsche que morreu em acidente recebe homenagens de universidade e colegas

    12 de julho de 2026
  • Zenvo Aurora usa quatro turbos para ser o V12 de rua mais potente do mundo

    12 de julho de 2026
  • Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana

    12 de julho de 2026
  • Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo

    12 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Argentina elimina Suíça e enfrenta Inglaterra na semifinal

12 de julho de 2026

O velho hábito de desligar o ar-condicionado do...

12 de julho de 2026

Nova frente fria chega hoje ao interior de...

12 de julho de 2026

Unicamp constrói Vila das Startups para abrigar mais...

12 de julho de 2026

Polícia busca motociclista que atropelou e matou idosa...

12 de julho de 2026

Leitura obrigatória

  • Motorista de Porsche que morreu em acidente recebe homenagens de universidade e colegas

    12 de julho de 2026
  • Zenvo Aurora usa quatro turbos para ser o V12 de rua mais potente do mundo

    12 de julho de 2026
  • Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana

    12 de julho de 2026
  • Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo

    12 de julho de 2026
  • Inglaterra vence Noruega e garante vaga na semifinal

    12 de julho de 2026

Newsletter

Posts relacionados

  • Kingdom Come: Deliverance II de graça, coletânea de GTA baratinha e mais! Veja as indicações de games da semana

    12 de julho de 2026
  • Robert Pattinson compara seu papel em A Odisseia ao Jacob de Crepúsculo

    12 de julho de 2026
  • Epic Games libera novo jogo grátis no celular! Resgate agora no Android (12)

    12 de julho de 2026
  • Monitor 24 polegadas: para quem é indicado e as melhores opções

    12 de julho de 2026
  • Xbox Game Pass recebe Gears of War e mais games esta semana! Confira os lançamentos (11)

    11 de julho de 2026

Mais vistas da semana

⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026
Tudo sobre Witch Hat Atelier, anime de fantasia que conquistou muitos fãs
5 de julho de 2026

Postagens Aleatórias

Fim da baliza e menos burocracia aumentam emissão de CNHs na região de Campinas
9 de maio de 2026
Jovem é encontrado sem vida dentro de veículo
2 de abril de 2026
EUA anuncia que estrangeiros terão de sair do país para solicitar o Green Card
22 de maio de 2026

Categorias Populares

  • Tecnologia (6.108)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.125)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.143)
  • Bragança Paulista (1.123)
  • Esporte (815)
  • Saúde (501)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home