{"id":194,"date":"2026-02-11T16:39:04","date_gmt":"2026-02-11T15:39:04","guid":{"rendered":"https:\/\/helloblog.io\/fi\/wpvivid-backup-migration-kriittinen-tiedostonlataushaavoittuvuus-cve-2026-1357\/"},"modified":"2026-02-11T16:39:04","modified_gmt":"2026-02-11T15:39:04","slug":"wpvivid-backup-migration-kriittinen-tiedostonlataushaavoittuvuus-cve-2026-1357","status":"publish","type":"post","link":"https:\/\/helloblog.io\/fi\/wpvivid-backup-migration-kriittinen-tiedostonlataushaavoittuvuus-cve-2026-1357\/","title":{"rendered":"WPvivid Backup & Migration -lis\u00e4osasta l\u00f6ytyi kriittinen tiedostonlataushaavoittuvuus (CVE-2026-1357): n\u00e4in tarkistat riskin ja paikkaat oikein"},"content":{"rendered":"\n

Wordfence raportoi helmikuussa 2026 kriittisest\u00e4 haavoittuvuudesta WPvivid Backup & Migration -lis\u00e4osassa (WordPress.org-slug: wpvivid-backuprestore<\/code>). Lis\u00e4osalla on yli 800\u202f000 aktiivista asennusta, ja kyseess\u00e4 on luokkaa \u201cunauthenticated arbitrary file upload\u201d eli kirjautumaton hy\u00f6kk\u00e4\u00e4j\u00e4 voi tietyiss\u00e4 olosuhteissa ladata palvelimelle mielivaltaisen tiedoston. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 tarkoittaa usein et\u00e4koodin suoritusta (Remote Code Execution, RCE) ja pahimmillaan koko sivuston haltuunottoa.<\/p>\n\n\n\n

\n\n

Oleellinen rajaus: kaikki asennukset eiv\u00e4t ole yht\u00e4 lailla kriittisess\u00e4 riskiss\u00e4<\/h4>\n\n\n

Wordfencen mukaan haavoittuvuus osuu kriittisesti niihin sivustoihin, joissa WPvividin asetuksista on luotu \u201cgenerated key\u201d toisen sivuston varmuuskopion vastaanottamiseen. Ominaisuus on oletuksena pois p\u00e4\u00e4lt\u00e4, ja avaimen voimassaolo voidaan asettaa enint\u00e4\u00e4n 24 tuntiin.<\/p>\n\n<\/div>\n\n\n\n

Mik\u00e4 on haavoittuvuuden ydin (CVE-2026-1357)?<\/h2>\n\n\n\n

Wordfence Intelligence -tietojen mukaan WPvivid Backup & Migration (haavoittuvuusotsikolla \u201cMigration, Backup, Staging <= 0.9.123 - Unauthenticated Arbitrary File Upload\u201d) on haavoittuva versioihin 0.9.123 asti. CVSS-luokitus on 9.8 (Critical)<\/strong> ja CVE-tunnus on CVE-2026-1357<\/strong>. Korjattu versio on 0.9.124<\/strong>.<\/p>\n\n\n\n

    \n\n
  • Vaikutus:<\/strong> kirjautumaton hy\u00f6kk\u00e4\u00e4j\u00e4 voi ladata mielivaltaisia tiedostoja ja saavuttaa et\u00e4koodin suorituksen (RCE), mik\u00e4 on tyypillinen reitti t\u00e4ydelliseen sivuston kompromissiin (esim. webshell).<\/li>\n\n\n
  • Vaikuttavat versiot:<\/strong> <= 0.9.123<\/li>\n\n\n
  • Korjattu versio:<\/strong> 0.9.124<\/li>\n\n\n
  • CVE:<\/strong> CVE-2026-1357<\/li>\n\n\n
  • CVSS:<\/strong> 9.8 (Critical)<\/li>\n\n\n
  • Erityisehto kriittiselle hy\u00f6dynt\u00e4miselle:<\/strong> sivustossa on oltava WPvividiss\u00e4 luotu vastaanottoavain (\u201cgenerated key\u201d), jolla toinen sivusto voi l\u00e4hett\u00e4\u00e4 varmuuskopion t\u00e4h\u00e4n sivustoon.<\/li>\n\n<\/ul>\n\n\n\n

    Miksi t\u00e4m\u00e4 on mahdollinen: virheenk\u00e4sittely, salausavaimen nolla-avaimeksi \u201cputoaminen\u201d ja polun puhdistuksen puute<\/h2>\n\n\n\n

    Wordfencen tekninen analyysi kuvaa ketjun, jossa useampi ongelma yhdess\u00e4 mahdollistaa hy\u00f6dynt\u00e4misen. WPvividiss\u00e4 on ominaisuus, jossa sivusto voi vastaanottaa varmuuskopion toiselta sivustolta<\/strong> lyhytik\u00e4isell\u00e4 avaimella. T\u00e4t\u00e4 vastaanottoa k\u00e4sitell\u00e4\u00e4n WPvivid_Send_to_site<\/code>-luokan send_to_site()<\/code>-funktiossa, jossa wpvivid_content<\/code>-POST-parametri base64-dekoodataan ja puretaan WPvivid_crypt<\/code>-luokan decrypt_message()<\/code>-metodilla.<\/p>\n\n\n\n

    Kriittinen kohta on RSA-purku ja sen virheenk\u00e4sittely: jos RSA-dekryptaus ep\u00e4onnistuu (Wordfencen yhteenvedossa mainitaan tilanne, jossa openssl_private_decrypt()<\/code> ei onnistu), avainarvo voi p\u00e4\u00e4ty\u00e4 boolean false<\/code> -tilaan. Wordfencen mukaan suoritus ei t\u00e4ll\u00f6in pys\u00e4hdy, vaan false<\/code> sy\u00f6tet\u00e4\u00e4n seuraavaan vaiheeseen (phpseclibin AES-\/Rijndael-salauksen alustus). Kirjaston tulkinta johtaa k\u00e4yt\u00e4nn\u00f6ss\u00e4 ennustettavaan \u201cnull byte\u201d -avaimeen (nollatavuja), jolloin hy\u00f6kk\u00e4\u00e4j\u00e4 voi muodostaa hy\u00f6tykuorman, joka on salattu t\u00e4ll\u00e4 ennustettavalla avaimella.<\/p>\n\n\n\n

    Toinen osa ketjua liittyy tiedoston kirjoittamiseen: Wordfencen mukaan lis\u00e4osa hyv\u00e4ksyy puretusta hy\u00f6tykuormasta tulevan tiedostonimen ilman riitt\u00e4v\u00e4\u00e4 polun sanitointia. T\u00e4m\u00e4 mahdollistaa directory traversal -tyyppisen polkumanipuloinnin, jolla voidaan karata suojatusta varmuuskopiohakemistosta ja kirjoittaa tiedosto julkisesti paljastettuun hakemistoon (esim. webrootin alle). Kun lis\u00e4ksi tiedoston latauksessa ei ollut tiedostotyypin tai p\u00e4\u00e4tteen tarkastusta, hy\u00f6kk\u00e4\u00e4j\u00e4 pystyi latamaan esimerkiksi PHP-tiedoston ja suorittamaan sen.<\/p>\n\n\n\n

    \n\n

    Hy\u00f6kk\u00e4ysvektori Wordfencen mukaan<\/h4>\n\n\n

    Wordfence kuvaa, ett\u00e4 hy\u00f6dynt\u00e4minen on mahdollista parametrin wpvivid_action=send_to_site<\/code> kautta, jolloin kirjautumaton hy\u00f6kk\u00e4\u00e4j\u00e4 voi saada haitallisen PHP-tiedoston palvelimelle ja ajaa et\u00e4koodia.<\/p>\n\n<\/div>\n\n\n\n

    Mit\u00e4 WPvivid korjasi versiossa 0.9.124?<\/h2>\n\n\n\n

    Wordfencen mukaan korjaus koostuu kahdesta keskeisest\u00e4 muutoksesta:<\/p>\n\n\n\n

      \n\n
    1. decrypt_message()<\/code>-metodiin lis\u00e4ttiin tarkistus, joka pys\u00e4ytt\u00e4\u00e4 prosessin, jos RSA-purun tuloksena saatava $key<\/code> on false<\/code> tai tyhj\u00e4. K\u00e4yt\u00e4nn\u00f6ss\u00e4 t\u00e4m\u00e4 est\u00e4\u00e4 tilanteen, jossa salauksen avain \u201cputoaa\u201d ennustettavaan nolla-avaimeen.<\/li>\n\n\n
    2. send_to_site()<\/code>-polkuun lis\u00e4ttiin tiedostop\u00e4\u00e4tteen tarkistus ja nimen turvallistaminen: tiedostonimi otetaan basename()<\/code>-k\u00e4sittelyn kautta, siit\u00e4 poistetaan sallitun merkkijoukon ulkopuoliset merkit (preg_replace('\/[^a-zA-Z0-9._-]\/', '', ...)<\/code>), ja sallittujen p\u00e4\u00e4tteiden listaksi asetetaan zip<\/code>, gz<\/code>, tar<\/code>, sql<\/code>. Jos p\u00e4\u00e4te ei ole sallittu, pyynt\u00f6 hyl\u00e4t\u00e4\u00e4n virheell\u00e4 \u201cInvalid file type – only backup files allowed.\u201d<\/li>\n\n<\/ol>\n\n\n\n

      Korjauksen kannalta kiinnostavat koodimuutokset (l\u00e4hteen mukaisesti)<\/h3>\n\n\n\n
      <\/circle><\/circle><\/circle><\/g><\/svg><\/span>