{"id":237,"date":"2026-02-11T16:38:24","date_gmt":"2026-02-11T15:38:24","guid":{"rendered":"https:\/\/helloblog.io\/pt\/falha-critica-wpvivid-backup-upload-arbitrario-ficheiros-cve-2026-1357\/"},"modified":"2026-02-11T16:38:24","modified_gmt":"2026-02-11T15:38:24","slug":"falha-critica-wpvivid-backup-upload-arbitrario-ficheiros-cve-2026-1357","status":"publish","type":"post","link":"https:\/\/helloblog.io\/pt\/falha-critica-wpvivid-backup-upload-arbitrario-ficheiros-cve-2026-1357\/","title":{"rendered":"Falha cr\u00edtica no WPvivid Backup exp\u00f5e at\u00e9 800 mil sites: upload arbitr\u00e1rio de ficheiros sem autentica\u00e7\u00e3o (CVE-2026-1357)"},"content":{"rendered":"\n

Foi divulgado um problema de seguran\u00e7a grave no plugin WPvivid Backup & Migration<\/strong> (tamb\u00e9m identificado como Migration, Backup, Staging<\/em>), com mais de 800.000 instala\u00e7\u00f5es ativas<\/strong>. A falha (classificada como Critical<\/strong>, CVSS 9.8<\/strong>) permite upload arbitr\u00e1rio de ficheiros sem autentica\u00e7\u00e3o<\/strong> e pode escalar para Remote Code Execution (RCE)<\/strong> – na pr\u00e1tica, um caminho t\u00edpico para tomada completa do site.<\/p>\n\n\n\n

O ponto-chave (e que muda muito a avalia\u00e7\u00e3o de risco no terreno): segundo a an\u00e1lise publicada, o impacto cr\u00edtico aplica-se sobretudo a sites que t\u00eam uma chave gerada nas defini\u00e7\u00f5es do plugin<\/strong> para permitir que outro site envie um backup para esse site<\/strong>. Essa funcionalidade vem desativada por omiss\u00e3o<\/strong>, e a expira\u00e7\u00e3o da chave pode ser definida no m\u00e1ximo para 24 horas<\/strong>.<\/p>\n\n\n\n

\"Imagem
. \u2014 Forr\u00e1s: Wordfence<\/em><\/figcaption><\/figure>\n\n\n\n

O que foi afetado (resumo r\u00e1pido e pr\u00e1tico)<\/h2>\n\n\n\n
    \n\n
  • CVE:<\/strong> CVE-2026-1357<\/li>\n\n\n
  • Severidade:<\/strong> 9.8 (Critical)<\/li>\n\n\n
  • Plugin:<\/strong> Migration, Backup, Staging – WPvivid Backup & Migration<\/li>\n\n\n
  • Slug no WordPress.org:<\/strong> wpvivid-backuprestore<\/li>\n\n\n
  • Vers\u00f5es vulner\u00e1veis:<\/strong> <= 0.9.123<\/li>\n\n\n
  • Vers\u00e3o corrigida:<\/strong> 0.9.124<\/li>\n\n\n
  • Tipo de falha:<\/strong> Unauthenticated Arbitrary File Upload (upload arbitr\u00e1rio de ficheiros sem login)<\/li>\n\n\n
  • Poss\u00edvel impacto:<\/strong> Remote Code Execution (RCE) e comprometimento total do site, tipicamente via webshells<\/li>\n\n<\/ul>\n\n\n\n

    Porque \u00e9 que isto pode dar RCE (e takeover do site)<\/h2>\n\n\n\n

    Vulnerabilidades de arbitrary file upload<\/em> s\u00e3o das mais perigosas em WordPress porque, se o atacante conseguir colocar um ficheiro execut\u00e1vel pelo servidor<\/strong> (por exemplo, um .php<\/code>) numa pasta acess\u00edvel via web, basta depois chamar esse ficheiro por URL para executar c\u00f3digo no servidor. Isso abre portas a webshells, cria\u00e7\u00e3o de utilizadores admin, inje\u00e7\u00e3o de malware, pivoting para outros sites no mesmo servidor, etc.<\/p>\n\n\n\n

    Neste caso, o vetor est\u00e1 associado ao mecanismo do WPvivid para receber backups enviados por outro site<\/strong>, usando uma chave gerada temporariamente<\/strong>. O endpoint\/a\u00e7\u00e3o explorada \u00e9 referida como wpvivid_action=send_to_site<\/code>.<\/p>\n\n\n\n

    Condi\u00e7\u00e3o importante: quando \u00e9 que o teu site fica realmente exposto?<\/h2>\n\n\n\n

    A publica\u00e7\u00e3o ressalva repetidamente um detalhe operacional: a explora\u00e7\u00e3o cr\u00edtica depende de o site ter uma chave gerada nas defini\u00e7\u00f5es<\/strong> para permitir a rece\u00e7\u00e3o de backups enviados de outro site. Como essa op\u00e7\u00e3o vem desligada por defeito<\/strong>, nem todos os sites com o plugin instalado est\u00e3o automaticamente num estado \u201caberto\u201d – mas qualquer site que tenha usado essa funcionalidade (mesmo que de forma pontual) merece aten\u00e7\u00e3o imediata.<\/p>\n\n\n\n

    Al\u00e9m disso, a chave tem validade curta<\/strong> (expira\u00e7\u00e3o configur\u00e1vel at\u00e9 um m\u00e1ximo de 24 horas<\/strong>). Ainda assim, uma janela de 24 horas pode ser suficiente para explora\u00e7\u00e3o, especialmente em cen\u00e1rios de ataque automatizado.<\/p>\n\n\n\n

    An\u00e1lise t\u00e9cnica (o que correu mal no c\u00f3digo)<\/h2>\n\n\n\n

    A investiga\u00e7\u00e3o aponta para uma combina\u00e7\u00e3o de problemas: tratamento incorreto de erro na desencripta\u00e7\u00e3o RSA<\/strong> e aus\u00eancia de sanitiza\u00e7\u00e3o de caminho (path sanitization)<\/strong> ao escrever ficheiros no disco.<\/p>\n\n\n\n

    O fluxo descrito passa pela fun\u00e7\u00e3o send_to_site()<\/code> na classe WPvivid_Send_to_site<\/code>, que processa o conte\u00fado recebido ($_POST['wpvivid_content']<\/code>) e tenta desencriptar a mensagem com base numa chave configurada no plugin (guardada em wpvivid_api_token<\/code>). Se a op\u00e7\u00e3o n\u00e3o existir, ou se estiver expirada, o plugin termina (die()<\/code>). Quando existe e est\u00e1 v\u00e1lida, o plugin cria um objeto WPvivid_crypt<\/code> e chama decrypt_message()<\/code>.<\/p>\n\n\n\n

    <\/circle><\/circle><\/circle><\/g><\/svg><\/span>