{"id":197,"date":"2026-02-11T16:39:57","date_gmt":"2026-02-11T15:39:57","guid":{"rendered":"https:\/\/helloblog.io\/pl\/krytyczna-luka-wpvivid-backup-nieautoryzowany-upload-plikow-cve-2026-1357\/"},"modified":"2026-02-11T16:39:57","modified_gmt":"2026-02-11T15:39:57","slug":"krytyczna-luka-wpvivid-backup-nieautoryzowany-upload-plikow-cve-2026-1357","status":"publish","type":"post","link":"https:\/\/helloblog.io\/pl\/krytyczna-luka-wpvivid-backup-nieautoryzowany-upload-plikow-cve-2026-1357\/","title":{"rendered":"Krytyczna luka w WPvivid Backup: nieautoryzowany upload plik\u00f3w i potencjalne RCE (CVE-2026-1357)"},"content":{"rendered":"\n

W ekosystemie WordPressa co jaki\u015b czas wraca ten sam, wyj\u0105tkowo niebezpieczny scenariusz: arbitrary file upload<\/em>, czyli mo\u017cliwo\u015b\u0107 wgrania na serwer pliku wybranego przez atakuj\u0105cego. W praktyce cz\u0119sto ko\u0144czy si\u0119 to zdalnym wykonaniem kodu (RCE, Remote Code Execution<\/em>) i przej\u0119ciem ca\u0142ej witryny. Dok\u0142adnie taki problem opisano dla wtyczki WPvivid Backup & Migration<\/strong> (slug: wpvivid-backuprestore<\/code>) \u2013 i to w kontek\u015bcie funkcji, kt\u00f3ra ma u\u0142atwia\u0107 transfer kopii zapasowych mi\u0119dzy serwisami.<\/p>\n\n\n\n

Co si\u0119 sta\u0142o i kogo dotyczy problem<\/h2>\n\n\n\n

Do programu bug bounty Wordfence 12 stycznia 2026 zg\u0142oszono podatno\u015b\u0107 typu Unauthenticated Arbitrary File Upload<\/strong> we wtyczce WPvivid Backup. Wtyczka ma ponad 800 000 aktywnych instalacji<\/strong>, wi\u0119c temat jest istotny operacyjnie dla wielu admin\u00f3w i os\u00f3b utrzymuj\u0105cych WordPressy.<\/p>\n\n\n\n

Najwa\u017cniejszy niuans: wg opisu Wordfence podatno\u015b\u0107 krytycznie dotyka przede wszystkim te instalacje<\/strong>, na kt\u00f3rych w ustawieniach wtyczki wygenerowano klucz<\/strong> umo\u017cliwiaj\u0105cy innemu serwisowi<\/em> wys\u0142anie backupu na t\u0119 stron\u0119. Ta funkcja jest domy\u015blnie wy\u0142\u0105czona<\/strong>, a czas wa\u017cno\u015bci klucza da si\u0119 ustawi\u0107 maksymalnie na 24 godziny<\/strong>.<\/p>\n\n\n\n

Identyfikatory i zakres podatno\u015bci (Wordfence Intelligence)<\/h2>\n\n\n\n
    \n\n
  • Nazwa w bazie: Migration, Backup, Staging <= 0.9.123 - Unauthenticated Arbitrary File Upload<\/strong><\/li>\n\n\n
  • CVSS: 9.8 (Critical)<\/strong><\/li>\n\n\n
  • CVE: CVE-2026-1357<\/strong><\/li>\n\n\n
  • Wersje podatne: <= 0.9.123<\/strong><\/li>\n\n\n
  • Wersja z poprawk\u0105: 0.9.124<\/strong><\/li>\n\n\n
  • Bounty: 2,145.00 USD<\/strong><\/li>\n\n\n
  • Wtyczka: Migration, Backup, Staging – WPvivid Backup & Migration<\/strong><\/li>\n\n\n
  • Slug wtyczki: wpvivid-backuprestore<\/strong><\/li>\n\n<\/ul>\n\n\n\n

    Dlaczego to jest gro\u017ane: od uploadu do przej\u0119cia strony<\/h2>\n\n\n\n

    Podatno\u015bci z tej klasy zwykle nie ko\u0144cz\u0105 si\u0119 na samym \u201ewgraniu pliku\u201d. Je\u015bli atakuj\u0105cy mo\u017ce umie\u015bci\u0107 na serwerze plik .php<\/code> w publicznie dost\u0119pnym katalogu, to cz\u0119sto wystarczy jedno wej\u015bcie w URL, \u017ceby uruchomi\u0107 payload \u2013 a dalej w gr\u0119 wchodz\u0105 webshell\u2019e, kradzie\u017c danych, pivotowanie po \u015brodowisku czy trwa\u0142e backdoory.<\/p>\n\n\n\n

    W omawianym przypadku scenariusz jest jeszcze gorszy z perspektywy obro\u0144cy, bo atak nie wymaga uwierzytelnienia (unauthenticated). Wed\u0142ug Wordfence to mog\u0142o prowadzi\u0107 do zdalnego wykonania kodu<\/strong> i w efekcie do pe\u0142nego przej\u0119cia witryny<\/strong>.<\/p>\n\n\n\n

    Techniczne t\u0142o: jak powsta\u0142 \u0142a\u0144cuch b\u0142\u0119d\u00f3w<\/h2>\n\n\n\n

    Problem dotyczy\u0142 \u015bcie\u017cki odpowiedzialnej za odbieranie backupu z innego serwisu. WPvivid ma funkcj\u0119 \u201ereceive a backup from another site\u201d, kt\u00f3ra opiera si\u0119 o kr\u00f3tkotrwa\u0142y, wygenerowany w ustawieniach klucz. W kodzie za odbi\u00f3r pliku odpowiada metoda send_to_site()<\/code> w klasie WPvivid_Send_to_site<\/code>.<\/p>\n\n\n\n

    Z opisu analizy wynika, \u017ce \u0142a\u0144cuch prowadz\u0105cy do wykorzystania podatno\u015bci sk\u0142ada\u0142 si\u0119 z kilku element\u00f3w:<\/p>\n\n\n\n

      \n\n
    • Wtyczka odszyfrowywa\u0142a dane przesy\u0142ane w $_POST['wpvivid_content']<\/code> (base64) przy u\u017cyciu mechanizmu opartego o RSA + szyfr symetryczny (w opisie pojawia si\u0119 Rijndael\/AES przez phpseclib<\/code>).<\/li>\n\n\n
    • Klucz sesyjny by\u0142 odszyfrowywany, a nast\u0119pnie wykorzystywany do inicjalizacji szyfru symetrycznego. Klucz generowany w ustawieniach mia\u0142 pos\u0142u\u017cy\u0107 do bezpiecznej wymiany\/odbioru danych.<\/li>\n\n\n
    • B\u0142\u0105d w obs\u0142udze przypadku niepowodzenia: gdy odszyfrowanie klucza prywatnym kluczem (w praktyce wskazano openssl_private_decrypt()<\/code> jako punkt niepowodzenia w procesie) si\u0119 nie uda\u0142o, wykonanie nie by\u0142o przerywane<\/strong>, a w miejsce klucza przekazywana by\u0142a warto\u015b\u0107 logiczna false<\/code>.<\/li>\n\n\n
    • Biblioteka szyfruj\u0105ca (phpseclib) traktowa\u0142a false<\/code> jak ci\u0105g bajt\u00f3w o warto\u015bci 0x00<\/code> (null bytes). W efekcie powstawa\u0142 przewidywalny klucz<\/strong> do szyfrowania\/odszyfrowywania, kt\u00f3ry atakuj\u0105cy m\u00f3g\u0142 odtworzy\u0107 i u\u017cy\u0107 do przygotowania poprawnie \u201ezaszyfrowanego\u201d payloadu.<\/li>\n\n\n
    • Po odszyfrowaniu wtyczka przyjmowa\u0142a nazw\u0119 pliku z payloadu bez sanitizacji \u015bcie\u017cki<\/strong>, co umo\u017cliwia\u0142o directory traversal<\/strong> i \u201ewyj\u015bcie\u201d poza chroniony katalog backup\u00f3w.<\/li>\n\n\n
    • Na ko\u0144cu brakowa\u0142o skutecznych ogranicze\u0144 typu\/rozszerzenia wgrywanego pliku, wi\u0119c mo\u017cliwe by\u0142o umieszczenie np. pliku PHP w publicznie dost\u0119pnym katalogu i uruchomienie go w przegl\u0105darce.<\/li>\n\n\n
    • Wektor wykorzystania by\u0142 wi\u0105zany z parametrem akcji wpvivid_action=send_to_site<\/code> (wektor odbioru pliku).<\/li>\n\n<\/ul>\n\n\n\n

      Fragmenty kodu, kt\u00f3re pokazuj\u0105 sedno problemu<\/h3>\n\n\n\n

      Poni\u017cej \u2013 dla kontekstu \u2013 kluczowy fragment przep\u0142ywu z send_to_site()<\/code>, w kt\u00f3rym pobierane s\u0105 ustawienia tokenu\/klucza i wykonywane jest odszyfrowanie danych z wpvivid_content<\/code>:<\/p>\n\n\n\n

      <\/circle><\/circle><\/circle><\/g><\/svg><\/span>