{"id":227,"date":"2026-02-11T16:39:15","date_gmt":"2026-02-11T15:39:15","guid":{"rendered":"https:\/\/helloblog.io\/sl\/kriticna-ranljivost-wpvivid-backup-neavtenticiran-upload-datotek\/"},"modified":"2026-02-11T16:39:15","modified_gmt":"2026-02-11T15:39:15","slug":"kriticna-ranljivost-wpvivid-backup-neavtenticiran-upload-datotek","status":"publish","type":"post","link":"https:\/\/helloblog.io\/sl\/kriticna-ranljivost-wpvivid-backup-neavtenticiran-upload-datotek\/","title":{"rendered":"Kriti\u010dna ranljivost v WPvivid Backup: neavtenticiran upload datotek lahko vodi v prevzem WordPress strani"},"content":{"rendered":"\n

Varnostne objave v WordPress ekosistemu so pogosto rutinske, a v\u010dasih naleti\u0161 na primer, ki je vreden takoj\u0161nje akcije. Tokrat gre za vti\u010dnik WPvivid Backup & Migration<\/strong> (slug: wpvivid-backuprestore<\/code>), ki ima po podatkih iz objave ve\u010d kot 800.000 aktivnih namestitev<\/strong>. Wordfence je poro\u010dal o neavtenticirani ranljivosti za poljuben upload datotek (Unauthenticated Arbitrary File Upload)<\/strong>, ki se lahko eskalira v remote code execution (RCE)<\/strong> \u2013 v praksi to pogosto pomeni popoln prevzem strani.<\/p>\n\n\n\n

\n\n

Klju\u010dna omejitev (a \u0161e vedno kriti\u010dno)<\/h4>\n\n\n

Ranljivost je po navedbah kriti\u010dno relevantna predvsem za namestitve, kjer je v nastavitvah WPvivid ustvarjen klju\u010d za funkcionalnost, ki omogo\u010da, da druga stran po\u0161lje backup na tvojo stran. Funkcija je privzeto izklopljena, veljavnost klju\u010da pa je mogo\u010de nastaviti najve\u010d na 24 ur.<\/p>\n\n<\/div>\n\n\n\n

Kaj je bilo ranljivo (na kratko, a tehni\u010dno natan\u010dno)<\/h2>\n\n\n\n

Wordfence je ranljivost prejel 12. januarja 2026<\/strong> prek svojega Bug Bounty Program<\/strong>. Odkritje pripisujejo raziskovalcu Lucas Montes (NiRoX)<\/strong>, ki je ranljivost odgovorno prijavil zelo hitro po tem, ko je bila uvedena (po navedbah v 5 dneh). Za to je prejel nagrado 2.145,00 USD<\/strong>.<\/p>\n\n\n\n

V Wordfence Intelligence je ranljivost opisana kot: Migration, Backup, Staging <= 0.9.123 - Unauthenticated Arbitrary File Upload<\/strong>. Gre za kriti\u010dno oceno CVSS 9.8<\/strong>, dodeljen je CVE-2026-1357<\/strong>, prizadete so razli\u010dice <= 0.9.123<\/strong>, popravljena pa je 0.9.124<\/strong>.<\/p>\n\n\n\n

    \n\n
  • Vti\u010dnik: Migration, Backup, Staging – WPvivid Backup & Migration<\/li>\n\n\n
  • Slug: wpvivid-backuprestore<\/code><\/li>\n\n\n
  • CVE: CVE-2026-1357<\/strong><\/li>\n\n\n
  • CVSS: 9.8 (Critical)<\/strong><\/li>\n\n\n
  • Prizadete razli\u010dice: <= 0.9.123<\/strong><\/li>\n\n\n
  • Popravljena razli\u010dica: 0.9.124<\/strong><\/li>\n\n\n
  • Bounty: $2,145.00<\/strong><\/li>\n\n<\/ul>\n\n\n\n

    Kje v funkcionalnosti se pojavi problem<\/h2>\n\n\n\n

    WPvivid ima funkcijo, kjer lahko stran prejema backup z druge WordPress strani<\/strong>. Za to potrebuje\u0161 kratkoro\u010dno generiran klju\u010d<\/strong> (key), ki ga vti\u010dnik uporabi za varno komunikacijo. V analizi Wordfence izpostavi implementacijo sprejema datotek prek metode send_to_site()<\/code> v razredu WPvivid_Send_to_site<\/code>, ki obdeluje prejem backup datoteke skupaj z generiranim klju\u010dem.<\/p>\n\n\n\n

    Klju\u010dni del te\u017eave je kombinacija dveh stvari: (1) neustrezno rokovanje z napako v postopku RSA de\u0161ifriranja in (2) pomanjkanje sanitizacije poti\/imen datotek pri zapisovanju prejetih datotek. Skupaj to napadalcu omogo\u010di, da pripravi \u0161ifriran payload, ki se de\u0161ifrira na predvidljiv na\u010din, nato pa vti\u010dnik uporabi napadal\u010devo ime datoteke brez zadostnih varnostnih omejitev.<\/p>\n\n\n\n

    1) Napa\u010dno rokovanje z RSA de\u0161ifriranjem \u2192 predvidljiv klju\u010d (null bytes)<\/h3>\n\n\n\n

    Po opisu je problem v tem, da v procesu de\u0161ifriranja sejne vrednosti (session key) vti\u010dnik posku\u0161a de\u0161ifrirati klju\u010d, in \u010de de\u0161ifriranje ne uspe (npr. zaradi napa\u010dnega klju\u010da), dobi boolean false<\/code><\/strong>. Namesto da bi v tem trenutku prekinil izvajanje, koda ta false<\/code> posreduje inicializaciji simetri\u010dnega \u0161ifranta (AES\/Rijndael) iz knji\u017enice phpseclib<\/strong>. Wordfence pojasni, da knji\u017enica false<\/code> obravnava kot niz ni\u010delnih bajtov (null bytes), kar posledi\u010dno pomeni predvidljiv \u0161ifrirni klju\u010d<\/strong>.<\/p>\n\n\n\n

    \u010ce je klju\u010d predvidljiv, lahko napadalec izdela zlonameren payload, \u0161ifriran s tem null-byte klju\u010dem, in ga vti\u010dnik nato \u00bbuspe\u0161no\u00ab obdela. V analizi je to vezano na situacijo, ko vti\u010dnik pri de\u0161ifriranju uporablja openssl_private_decrypt()<\/code> in pri napaki ne zaklju\u010di izvajanja, kar spro\u017ei opisani ne\u017eeleni tok.<\/p>\n\n\n\n

    2) Brez sanitizacije poti in brez preverjanja tipa datotek \u2192 upload PHP + directory traversal<\/h3>\n\n\n\n

    Drugi del verige je, da funkcija za upload (prejem) datoteke po navedbah ne preverja tipa ali kon\u010dnice datoteke<\/strong>. \u0160e ve\u010d: vti\u010dnik sprejme imena datotek iz de\u0161ifriranega payloada brez ustrezne sanitizacije, kar omogo\u010da directory traversal<\/strong> (pobeg iz za\u0161\u010ditene backup mape). To napadalcu omogo\u010di, da zapi\u0161e poljubno datoteko \u2013 vklju\u010dno s PHP datoteko<\/strong> \u2013 v javno dostopen direktorij in jo nato prek HTTP zahteve spro\u017ei, kar vodi do RCE<\/strong>.<\/p>\n\n\n\n

    Wordfence izrecno omenja, da je RCE izvedljiv prek parametra wpvivid_action=send_to_site<\/code><\/strong>. Kot pri ve\u010dini ranljivosti tipa arbitrary file upload je tipi\u010den nadaljnji korak namestitev webshella in kasnej\u0161a popolna kompromitacija (npr. kraja podatkov, dodajanje admin uporabnikov, pivotanje v notranje sisteme ipd.).<\/p>\n\n\n\n

    \n\n

    Zakaj je to razred ranljivosti, ki ga jemljemo resno<\/h4>\n\n\n

    Poljuben upload datotek + mo\u017enost zapisovanja v spletno dostopne direktorije je ena najnevarnej\u0161ih kombinacij. Tudi \u010de je inicialni vektor vezan na specifi\u010dno funkcijo, uspe\u0161na zloraba obi\u010dajno hitro eskalira v popoln prevzem WordPress instance.<\/p>\n\n<\/div>\n\n\n\n

    Kako je ranljivost odpravljena v 0.9.124<\/h2>\n\n\n\n

    Razvijalec je ranljivost odpravil v razli\u010dici 0.9.124<\/strong>. Wordfence navaja dva klju\u010dna popravka:<\/p>\n\n\n\n

      \n\n
    1. V funkciji decrypt_message()<\/code> so dodali preverjanje, ali je $key<\/code> po RSA de\u0161ifriranju false<\/code> ali prazen. \u010ce je, funkcija vrne false<\/code> (in s tem ne nadaljuje s simetri\u010dnim de\u0161ifriranjem s predvidljivim klju\u010dem).<\/li>\n\n\n
    2. V funkciji send_to_site()<\/code> so dodali preverjanje kon\u010dnic datotek in sanitizacijo imena. Dovoljene so samo tipi\u010dne backup kon\u010dnice: zip<\/code>, gz<\/code>, tar<\/code>, sql<\/code>. \u010ce kon\u010dnica ni na seznamu, vti\u010dnik vrne napako \u00bbInvalid file type – only backup files allowed.\u00ab in prekine izvajanje.<\/li>\n\n<\/ol>\n\n\n\n
      <\/circle><\/circle><\/circle><\/g><\/svg><\/span>