Origine : bjCSIRT

Numéro : 2026/ALERTE/007

APERÇU :

Une vulnérabilité critique affectant le plugin WPvivid Backup & Migration de WordPress permettrait à un acteur malveillant non authentifié de téléverser des fichiers arbitraires sur les systèmes affectés. 

DESCRIPTION :

WPvivid Backup & Migration est un plugin WordPress qui permet de migrer, sauvegarder et restaurer des sites WordPress. Il prend en charge les sauvegardes automatiques, le stockage distant (cloud) et la migration vers un autre domaine ou hébergement en quelques clics. 

Ce plugin est affecté par une vulnérabilité critique libellée CVE-2026-1357, résultant d’une gestion incorrecte des erreurs dans le processus de déchiffrement RSA et d’une validation insuffisante des chemins lors du traitement des fichiers téléversés. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de téléverser des fichiers malveillants dans des répertoires du serveur pouvant conduire à une exécution de code à distance. 

Elle est classée critique avec un score de sévérité de 9.8 selon le CVSS V3.1. 

IMPACT :

• Exécution de code à distance  ;

• Exécution de code arbitraire à distance ;

• Compromission de l’intégrité du système.

SYSTÈMES AFFECTÉS : 

• Toutes les versions du plugin WPvivid Backup & Migration antérieures à 0.9.124. 

MESURES À PRENDRE :

Mettre à jour le plugin WPvivid Backup & Migration vers  la dernière version stable ; 

RÉFÉRENCES :

• https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wpvivid-backuprestore/migration-backup-staging-09123-unauthenticated-arbitrary-file-upload
• https://nvd.nist.gov/vuln/detail/CVE-2026-1357
• https://feedly.com/cve/CVE-2026-1357