{"id":224,"date":"2026-02-11T16:38:35","date_gmt":"2026-02-11T15:38:35","guid":{"rendered":"https:\/\/helloblog.io\/es\/vulnerabilidad-critica-wpvivid-backup-subida-arbitraria-archivos-cve-2026-1357\/"},"modified":"2026-02-11T16:38:35","modified_gmt":"2026-02-11T15:38:35","slug":"vulnerabilidad-critica-wpvivid-backup-subida-arbitraria-archivos-cve-2026-1357","status":"publish","type":"post","link":"https:\/\/helloblog.io\/es\/vulnerabilidad-critica-wpvivid-backup-subida-arbitraria-archivos-cve-2026-1357\/","title":{"rendered":"Vulnerabilidad cr\u00edtica en WPvivid Backup: subida arbitraria de archivos (CVE-2026-1357) y riesgo de RCE en sitios WordPress"},"content":{"rendered":"\n

Se ha publicado un aviso de seguridad importante sobre WPvivid Backup & Migration<\/strong> (slug: wpvivid-backuprestore<\/code>), un plugin de copias de seguridad\/migraci\u00f3n con m\u00e1s de 800.000 instalaciones activas<\/strong>. El problema es una subida arbitraria de archivos sin autenticaci\u00f3n<\/strong> que, en el peor escenario, permite Remote Code Execution (RCE)<\/strong> y puede desembocar en la toma completa del sitio.<\/p>\n\n\n\n

El matiz clave (y pr\u00e1ctico) es que el impacto cr\u00edtico se concentra en sitios donde se ha activado una funci\u00f3n concreta del plugin: permitir que otro sitio env\u00ede un backup al tuyo<\/strong> mediante una clave generada<\/strong> en los ajustes. Esta caracter\u00edstica viene desactivada por defecto<\/strong> y la caducidad de la clave<\/strong> solo puede configurarse hasta un m\u00e1ximo de 24 horas<\/strong>. Aun as\u00ed, si se ha usado alguna vez, conviene tratarlo como urgente.<\/p>\n\n\n\n

Resumen de la vulnerabilidad (Wordfence Intelligence)<\/h2>\n\n\n\n
    \n\n
  • Nombre\/entrada:<\/strong> \u201cMigration, Backup, Staging <= 0.9.123 - Unauthenticated Arbitrary File Upload\u201d<\/li>\n\n\n
  • Severidad (CVSS):<\/strong> 9.8 (Critical)<\/li>\n\n\n
  • CVE:<\/strong> CVE-2026-1357<\/li>\n\n\n
  • Versiones afectadas:<\/strong> <= 0.9.123<\/li>\n\n\n
  • Versi\u00f3n corregida:<\/strong> 0.9.124<\/li>\n\n\n
  • Componente afectado:<\/strong> Migration, Backup, Staging – WPvivid Backup & Migration<\/li>\n\n\n
  • Vector destacado:<\/strong> wpvivid_action=send_to_site<\/code><\/li>\n\n\n
  • Bounty reportado:<\/strong> $2,145.00 (descubrimiento y reporte responsable por Lucas Montes (NiRoX) v\u00eda Bug Bounty Program)<\/li>\n\n<\/ul>\n\n\n\n

    Seg\u00fan el an\u00e1lisis publicado, la vulnerabilidad combina dos problemas: manejo incorrecto de errores durante el descifrado RSA<\/strong> y ausencia de saneamiento de rutas (path sanitization)<\/strong> cuando se escriben archivos subidos. El resultado es que un atacante puede preparar una carga maliciosa, forzar la escritura del archivo fuera del directorio \u201cprotegido\u201d del backup y terminar colocando un PHP<\/strong> ejecutable en una ruta accesible p\u00fablicamente.<\/p>\n\n\n\n

    \n\n

    \u00bfCu\u00e1ndo es cr\u00edtico de verdad?<\/h4>\n\n\n

    El aviso recalca que afecta de forma cr\u00edtica a quienes tengan una clave generada<\/strong> en los ajustes del plugin para permitir la recepci\u00f3n de backups desde otro sitio. La funci\u00f3n est\u00e1 desactivada por defecto<\/strong> y la clave caduca como m\u00e1ximo en 24 horas<\/strong>, pero si la has habilitado (aunque sea puntualmente), actualiza y revisa.<\/p>\n\n<\/div>\n\n\n\n

    Qu\u00e9 permite el ataque: de subida de archivos a ejecuci\u00f3n remota de c\u00f3digo<\/h2>\n\n\n\n

    Una arbitrary file upload<\/strong> (subida arbitraria de archivos) en WordPress es especialmente peligrosa porque no se limita a \u201csubir un fichero\u201d: si el atacante consigue escribir un .php<\/code> en una carpeta servida por el servidor web, puede ejecutar ese c\u00f3digo v\u00eda HTTP y ganar control (por ejemplo, desplegando una webshell<\/strong>, que es un script para ejecutar comandos y gestionar archivos desde el navegador).<\/p>\n\n\n\n

    En este caso, el flujo vulnerable est\u00e1 ligado a la caracter\u00edstica de WPvivid para recibir backups entrantes<\/strong> desde otra instalaci\u00f3n. El endpoint\/acci\u00f3n mencionada en el informe (wpvivid_action=send_to_site<\/code>) es la puerta de entrada que un actor malicioso intentar\u00eda explotar.<\/p>\n\n\n\n

    An\u00e1lisis t\u00e9cnico: d\u00f3nde falla el proceso de cifrado\/descifrado<\/h2>\n\n\n\n

    El plugin gestiona la recepci\u00f3n del backup en la funci\u00f3n send_to_site()<\/code> de la clase WPvivid_Send_to_site<\/code>. Ah\u00ed carga la l\u00f3gica criptogr\u00e1fica y utiliza una clave generada en la configuraci\u00f3n (guardada en opciones) para descifrar el contenido recibido.<\/p>\n\n\n\n

    <\/circle><\/circle><\/circle><\/g><\/svg><\/span>