{"id":221,"date":"2026-02-11T16:39:25","date_gmt":"2026-02-11T15:39:25","guid":{"rendered":"https:\/\/helloblog.io\/da\/kritisk-filupload-sarbarhed-wpvivid-backup-cve-2026-1357\/"},"modified":"2026-02-11T16:39:25","modified_gmt":"2026-02-11T15:39:25","slug":"kritisk-filupload-sarbarhed-wpvivid-backup-cve-2026-1357","status":"publish","type":"post","link":"https:\/\/helloblog.io\/da\/kritisk-filupload-sarbarhed-wpvivid-backup-cve-2026-1357\/","title":{"rendered":"Kritisk filupload-s\u00e5rbarhed i WPvivid Backup rammer op til 800.000 WordPress-sites (CVE-2026-1357)"},"content":{"rendered":"\n

Hvis du k\u00f8rer WPvivid Backup & Migration (plugin-sluget wpvivid-backuprestore<\/strong>), er der kommet en alvorlig advisory, som er v\u00e6rd at tage helt bogstaveligt: en unauthenticated arbitrary file upload<\/strong> kan bruges til at f\u00e5 remote code execution (RCE)<\/strong> og i praksis fuld overtagelse af et WordPress-site. Pluginet har over 800.000 aktive installationer<\/strong>, s\u00e5 blast radius er stor – men det er vigtigt at forst\u00e5 den konkrete foruds\u00e6tning for, om din installation er kritisk eksponeret.<\/p>\n\n\n\n

Hvad er problemet \u2013 og hvem er faktisk ramt?<\/h2>\n\n\n\n

S\u00e5rbarheden er registreret som CVE-2026-1357<\/strong> med CVSS 9.8 (Critical)<\/strong> og g\u00e6lder WPvivid Backup<\/strong> i versioner <= 0.9.123<\/strong>. Den er rettet i 0.9.124<\/strong>.<\/p>\n\n\n\n

Det helt centrale (og ofte oversete) nuancepunkt: If\u00f8lge advisoryen er s\u00e5rbarheden kun kritisk<\/em> for sites, hvor du i pluginets indstillinger har genereret en n\u00f8gle<\/strong>, som bruges til at lade et andet site sende en backup til<\/em> dit site (\u201dreceive backup from another site\u201d). Funktionen er sl\u00e5et fra som standard<\/strong>, og n\u00f8glens udl\u00f8b kan kun s\u00e6ttes til maksimalt 24 timer<\/strong>.<\/p>\n\n\n\n

\n\n

Konsekvens i praksis<\/h4>\n\n\n

Hvis foruds\u00e6tningerne er opfyldt, kan en angriber uden login uploade vilk\u00e5rlige filer (fx en PHP webshell) til et webtilg\u00e6ngeligt sted og derefter eksekvere koden – typisk ender det i komplet kompromittering.<\/p>\n\n<\/div>\n\n\n\n

Kort s\u00e5rbarhedsresume (Wordfence Intelligence)<\/h2>\n\n\n\n
    \n\n
  • Advisory: Migration, Backup, Staging <= 0.9.123 - Unauthenticated Arbitrary File Upload<\/em><\/li>\n\n\n
  • CVE: CVE-2026-1357<\/strong><\/li>\n\n\n
  • CVSS: 9.8 (Critical)<\/strong><\/li>\n\n\n
  • P\u00e5virkede versioner: <= 0.9.123<\/strong><\/li>\n\n\n
  • Rettet version: 0.9.124<\/strong><\/li>\n\n\n
  • Bounty (rapporteret via bug bounty): $2,145.00<\/strong><\/li>\n\n\n
  • Angrebsvektor: parameteren wpvivid_action=send_to_site<\/strong><\/li>\n\n\n
  • \u00c5rsager: fejl i RSA-dekryptering\/h\u00e5ndtering + manglende path-sanitization ved filskrivning, hvilket muligg\u00f8r directory traversal og upload af fx PHP-filer<\/li>\n\n<\/ul>\n\n\n\n

    Teknisk gennemgang: hvorfor kan det blive til RCE?<\/h2>\n\n\n\n

    WPvivid har en funktion til at modtage en backup fra et andet site ved hj\u00e6lp af en kortlivet, genereret n\u00f8gle. I koden h\u00e5ndteres modtagelsen via metoden send_to_site()<\/code> i klassen WPvivid_Send_to_site<\/code>.<\/p>\n\n\n\n

    Flowet er (forenklet) s\u00e5dan her: Pluginet tjekker, at der findes en konfiguration (wpvivid_api_token<\/code>) og at den ikke er udl\u00f8bet. Derefter oprettes en WPvivid_crypt<\/code>-instans og et POST-felt (wpvivid_content<\/code>) base64-dekodes og dekrypteres.<\/p>\n\n\n\n

    <\/circle><\/circle><\/circle><\/g><\/svg><\/span>