Des attaquants peuvent prendre le contrôle total de sites grâce à une vulnérabilité dans une extension WordPress.
Une faille de sécurité grave dans l’extension WPvivid Backup pour WordPress peut permettre à des attaquants d’exécuter du code malveillant sans authentification et de prendre le contrôle de sites web entiers.
Grave erreur dans l’extension
La vulnérabilité (CVE-2026-1357) affecte toutes les versions de l’extension jusqu’à la version 0.9.123 incluse et a reçu un score CVSS de 9,8. L’extension est active sur plus de 900 000 sites WordPress dans le monde et est largement utilisée pour les sauvegardes et les migrations entre environnements d’hébergement, écrit Bleeping Computer. Des chercheurs de Defiant, une société de sécurité spécialisée dans WordPress, ont découvert que des attaquants peuvent téléverser des fichiers sans authentification. Cela permet aux attaquants d’exécuter du code à distance et même de prendre le contrôle total du site.
Selon Defiant, les sites sur lesquels l’option permettant d’utiliser des sauvegardes provenant d’un autre site est activée sont particulièrement vulnérables. De plus, l’attaque peut durer jusqu’à 24 heures, tant qu’une clé générée est valide. Malgré ces exigences, l’attaque constitue un risque réel, car les administrateurs activent souvent cette fonction temporairement lors de migrations ou d’opérations de restauration.
Cause et solution
Le cœur du problème réside dans une mauvaise gestion des erreurs lors d’un déchiffrement et dans l’absence de contrôle des noms de fichiers. Cela génère une clé de chiffrement prévisible qui rend l’exploitation possible.
WPvividPlugins a publié une mise à jour de sécurité le 28 janvier dans la version 0.9.124. Celle-ci vérifie correctement les erreurs de déchiffrement, limite les types de fichiers autorisés et empêche l’écriture en dehors du dossier de sauvegarde. Il est conseillé aux administrateurs de mettre immédiatement à jour l’extension vers la version 0.9.124 et de vérifier si des fonctions sensibles sont activées inutilement.