{"id":210,"date":"2026-02-11T16:38:50","date_gmt":"2026-02-11T15:38:50","guid":{"rendered":"https:\/\/helloblog.io\/et\/wpvivid-backup-suvalise-faili-uleslaadimine-cve-2026-1357\/"},"modified":"2026-02-11T16:38:50","modified_gmt":"2026-02-11T15:38:50","slug":"wpvivid-backup-suvalise-faili-uleslaadimine-cve-2026-1357","status":"publish","type":"post","link":"https:\/\/helloblog.io\/et\/wpvivid-backup-suvalise-faili-uleslaadimine-cve-2026-1357\/","title":{"rendered":"WPvivid Backup pistikprogrammis avastati kriitiline suvalise faili \u00fcleslaadimise auk (CVE-2026-1357) – ohus on v\u00f5tmega \u201esend to site\u201d kasutajad"},"content":{"rendered":"\n

WordPressi varundus- ja migreerimispistikud on ebamugavalt k\u00f5rge v\u00e4\u00e4rtusega sihtm\u00e4rk: neil on ligip\u00e4\u00e4s failis\u00fcsteemile, tihti ka andmebaasile, ning varukoopiate liigutamine t\u00e4hendab paratamatult \u00fcleslaadimist\/alla\u00adlaadimist. 2026. aasta jaanuaris raporteeriti WPvivid Backup & Migrationi (WordPress.org slug wpvivid-backuprestore<\/code>, \u00fcle 800 000 aktiivse paigalduse) kohta kriitiline haavatavus, mis v\u00f5imaldab teatud seadistuse korral autentimata suvaliste failide \u00fcleslaadimist ja seel\u00e4bi kaugkoodi k\u00e4ivitamist (Remote Code Execution, RCE).<\/p>\n\n\n\n

Oluline t\u00e4psustus: r\u00fcnne muutub kriitiliseks ainult nendele saitidele, kus WPvividis on seadistatud funktsioon, mis lubab teisel saidil saata varukoopia sinu saidile (st pistikprogrammis on genereeritud v\u00f5ti<\/em>). See funktsioon on vaikimisi v\u00e4lja l\u00fclitatud ning v\u00f5tme aegumine on seadistatav maksimaalselt 24 tunni peale.<\/p>\n\n\n\n

Kiire kokkuv\u00f5te: mida t\u00e4pselt parandada?<\/h2>\n\n\n\n
    \n\n
  • Kui kasutad WPvivid Backup & Migrationit, uuenda kohe versioonile 0.9.124<\/strong> (v\u00f5i uuemale).<\/li>\n\n\n
  • Kui sul on sisse l\u00fclitatud \u201ereceive backup from another site\u201d\/\u201esend to site\u201d stiilis funktsioon ja loodud API-v\u00f5ti, k\u00e4sitle olukorda kui k\u00f5rgeimat prioriteeti<\/em>.<\/li>\n\n\n
  • Kui kasutad Wordfence\u2019i: Premium\/Care\/Response saidid said kaitsvad tulem\u00fc\u00fcrireeglid 22.01.2026<\/strong>, Wordfence Free puhul j\u00f5uab sama kaitse 21.02.2026<\/strong> (30 p\u00e4eva hiljem).<\/li>\n\n<\/ul>\n\n\n\n

    Haavatavuse kokkuv\u00f5te (Wordfence Intelligence andmetel)<\/h2>\n\n\n\n
      \n\n
    • Nimi: Migration, Backup, Staging <= 0.9.123 - Unauthenticated Arbitrary File Upload<\/strong><\/li>\n\n\n
    • CVSS: 9.8 (Critical)<\/strong><\/li>\n\n\n
    • CVE: CVE-2026-1357<\/strong><\/li>\n\n\n
    • M\u00f5jutatud versioonid: <= 0.9.123<\/strong><\/li>\n\n\n
    • Parandatud versioon: 0.9.124<\/strong><\/li>\n\n\n
    • M\u00f5jutatud tarkvara: Migration, Backup, Staging – WPvivid Backup & Migration<\/strong><\/li>\n\n\n
    • Plugin slug: wpvivid-backuprestore<\/strong><\/li>\n\n\n
    • Leidja: Lucas Montes (NiRoX)<\/strong> (raporteeritud Wordfence Bug Bounty Program kaudu)<\/li>\n\n\n
    • Bounty: $2,145.00<\/strong><\/li>\n\n<\/ul>\n\n\n\n

      Miks see auk on ohtlik: autentimata fail upload \u2192 RCE \u2192 t\u00e4ielik \u00fclev\u00f5tt<\/h2>\n\n\n\n

      \u201eArbitrary File Upload\u201d t\u00e4hendab praktikas, et r\u00fcndaja suudab serverisse kirjutada faili, mille sisu ja asukoha ta ise kontrollib. Kui see fail saab olla n\u00e4iteks PHP skript ning see kirjutatakse veebist ligip\u00e4\u00e4setavasse kataloogi, on j\u00e4rgmine samm trivialne: r\u00fcndaja avab URL-i ja k\u00e4ivitab serveris oma koodi. Reaalses maailmas kasutatakse selleks tihti webshell\u2019e, mis annavad p\u00fcsiva kontrolli saidi ja serveri \u00fcle.<\/p>\n\n\n\n

      Selle konkreetse juhtumi puhul r\u00f5hutatakse, et r\u00fcndevektor on seotud WPvivid Backupis oleva v\u00f5imalusega vastu v\u00f5tta varukoopia teisest WordPressi saidist<\/em>, mida kaitstakse l\u00fchiajalise genereeritud v\u00f5tmega. Kui seda funktsiooni ei kasutata (v\u00f5tit pole loodud), ei ole r\u00fcnde eeldused t\u00e4idetud.<\/p>\n\n\n\n

      Tehniline taust: mis kooditeel valesti l\u00e4ks?<\/h2>\n\n\n\n

      Wordfence\u2019i anal\u00fc\u00fcsi j\u00e4rgi on keskne kooditee seotud klassiga WPvivid_Send_to_site<\/code> ja selle meetodiga send_to_site()<\/code>, mis tegeleb teiselt saidilt tuleva varukoopia vastuv\u00f5tmisega. Sisend tuleb $_POST['wpvivid_content']<\/code> v\u00e4ljal, mis base64-dekodeeritakse ning dekr\u00fcpteeritakse.<\/p>\n\n\n\n

      Probleem oli kahes osas, mis koos tegid r\u00fcnde eriti ebameeldivaks:<\/p>\n\n\n\n

        \n\n
      1. Kr\u00fcptograafiline t\u00f5rkehaldus<\/strong>: RSA dekr\u00fcpteerimine v\u00f5ib eba\u00f5nnestuda. Kui sessiooniv\u00f5tme dekr\u00fcpteerimine ei \u00f5nnestu ja tulemuseks on false<\/code>, ei l\u00f5petatud protsessi korrektselt. See false<\/code> v\u00e4\u00e4rtus anti edasi AES\/Rijndael initsialiseerimisele.<\/li>\n\n\n
      2. Failitee ja nime ebapiisav valideerimine<\/strong>: \u00fcleslaetava faili nimi v\u00f5eti dekr\u00fcpteeritud payload\u2019ist ning seda ei sanitiseeritud piisavalt. See avas tee directory traversal\u2019ile (kataloogist \u201ev\u00e4lja ronimine\u201d), et kirjutada fail kaitstud backup-kataloogist v\u00e4lja veebist loetavatesse asukohtadesse.<\/li>\n\n<\/ol>\n\n\n\n

        Kr\u00fcptopoolsest vaatenurgast on t\u00e4helepanuv\u00e4\u00e4rne n\u00fcanss see, et kui openssl_private_decrypt()<\/code>\/RSA dekr\u00fcpteerimine annab false<\/code>, siis phpseclib\u2019i AES\/Rijndael initsialiseerimine k\u00e4sitleb seda sisuliselt kui nullbaitidest koosnevat etteaimatavat v\u00f5tmematerjali. Tulemus: r\u00fcndaja saab koostada kr\u00fcpteeritud payload\u2019i, mis \u201esobib\u201d selle etteaimatava null-bait v\u00f5tmega, ja seel\u00e4bi m\u00f6\u00f6da minna ideest, et ainult \u00f5igesti dekr\u00fcpteeritav sisu j\u00f5uab failikirjutamiseni.<\/p>\n\n\n\n

        RCE saavutati Wordfence\u2019i kirjelduse j\u00e4rgi suunaga, kus r\u00fcndaja kasutab parameetrit wpvivid_action=send_to_site<\/code>, et j\u00f5uda failide \u00fcleslaadimiseni ning kirjutada n\u00e4iteks pahatahtlik PHP fail avalikku kataloogi.<\/p>\n\n\n\n

        Mida tarnija muutis: parandus 0.9.124-s<\/h2>\n\n\n\n

        Parandus koosnes kahest t\u00e4iendavast turvakihist, mis on selles kontekstis m\u00f5lemad loogilised ja vajalikud.<\/p>\n\n\n\n

        1) Kr\u00fcptov\u00f5tme kontroll: katkesta, kui RSA dekr\u00fcpteerimine eba\u00f5nnestub<\/h3>\n\n\n\n

        decrypt_message()<\/code> funktsioonis lisati kontroll, mis l\u00f5petab dekr\u00fcpteerimisvoo, kui $key<\/code> on false<\/code> v\u00f5i t\u00fchi. Sisuliselt eemaldatakse v\u00f5imalus, et false<\/code> v\u00e4\u00e4rtus j\u00f5uab Rijndael\/AES v\u00f5tmena kasutusse.<\/p>\n\n\n\n

        <\/circle><\/circle><\/circle><\/g><\/svg><\/span>