Im weit verbreiteten WordPress-Plugin WPvivid Backup & Migration ist eine kritische Sicherheitsluecke entdeckt worden, die unter bestimmten Bedingungen eine unauthentifizierte Remote Code Execution (RCE) ermoeglicht. Mehr als 900.000 Webseiten, die das Plugin fuer Backup und Migration einsetzen, sind potenziell betroffen.
CVE-2026-1357: Einstufung, betroffene Versionen und Zeitlinie
Die Schwachstelle traegt die Kennung CVE-2026-1357 und wurde mit einem CVSS-Score von 9,8 als kritisch eingestuft. Betroffen sind alle Versionen bis einschliesslich 0.9.123 von WPvivid Backup & Migration. In einem worst-case-Szenario kann ein Angreifer die volle Kontrolle ueber eine WordPress-Installation erlangen.
Der Sicherheitsforscher Lucas Montes (Alias „NiRoX“) meldete die Luecke am 12. Januar 2026 an das Sicherheitsteam von Defiant (Wordfence). Die Entwickler von WPVividPlugins wurden am 22. Januar informiert und stellten am 28. Januar 2026 ein Update auf Version 0.9.124 bereit, das das Problem behebt.
Wer tatsaechlich gefaehrdet ist: Ausnutzungsbedingungen der WPvivid-Sicherheitsluecke
Obwohl der CVSS-Score sehr hoch ist, ist die Luecke nicht auf jeder Installation unmittelbar ausnutzbar. Entscheidend ist, ob die Option „receive backup from another site“ aktiviert wurde, also der Empfang von Backups von fremden Instanzen.
Ein erfolgreicher Angriff setzt im Wesentlichen zwei Bedingungen voraus: Erstens muss die Funktion zum Empfang externer Backups im Plugin aktiv sein. Zweitens muss der Angreifer innerhalb eines Fensters von 24 Stunden agieren, da so lange der zum Transfer genutzte Schluessel gueltig bleibt. Innerhalb dieser Frist kann ein manipuliertes Backup angenommen werden.
In der Praxis sind WordPress-Backuptools wie WPvivid jedoch haeufig gerade bei Migrationen im Einsatz. Administratoren aktivieren die Importfunktion oft temporaer, um einen Seitenumzug durchzufuehren, und vergessen in einigen Faellen, diese wieder zu deaktivieren. Dadurch erweitert sich die reale Angriffsoberflaeche deutlich.
Technische Analyse: Von Kryptografie-Fehlern zu beliebigen Dateiuploads
Fehlerhafte Behandlung von RSA-Entschluesselungsfehlern und vorhersagbarer AES-Schluessel
Im Kern beruht CVE-2026-1357 auf der Kombination eines Kryptografie-Implementierungsfehlers mit mangelhafter Eingabevalidierung. WPvivid verwendet fuer den Schluesselaustausch die PHP-Funktion openssl_private_decrypt(), um Daten mit RSA zu entschluesseln. Schlaegt dieser Vorgang fehl, gibt die Funktion false zurueck.
Der Plugin-Code pruefte diesen Rueckgabewert jedoch nicht ausreichend und uebergab ihn direkt an eine AES-(Rijndael-)Routine. Dort wurde false als Zeichenkette aus Null-Bytes interpretiert. Das Ergebnis: ein statisch vorhersagbarer AES-Schluessel, der sich fuer alle Angriffe gleich verhaelt. Ein Angreifer konnte so gezielt Backupdateien erzeugen, die wie legitime Transfers wirkten, obwohl sie manipulierten Inhalt enthielten.
Directory Traversal: Ablegen von Schadcode ausserhalb des Backup-Verzeichnisses
Parallel dazu fehlte im Upload-Prozess eine robuste Bereinigung der Dateinamen. Insbesondere wurden Pfadangaben wie ../ nicht ausreichend gefiltert. Damit war ein klassischer Directory-Traversal-Angriff moeglich, bei dem Dateien in beliebigen Serververzeichnissen abgelegt werden koennen.
Dadurch war es Angreifern moeglich, beliebige Dateien ausserhalb des Backup-Ordners zu schreiben – etwa in das Webroot oder nach wp-content/uploads. Werden dort PHP-Webshells oder andere Skripte platziert, koennen sie anschliessend ueber einen normalen HTTP-Aufruf ausgefuehrt werden. Die Kombination aus vorhersagbarem Schluessel und Directory Traversal macht den Backup-Import damit zu einem effektiven Kanal fuer Remote Code Execution ohne Login.
Patch in WPvivid 0.9.124: Welche Schutzmassnahmen umgesetzt wurden
Mit Version 0.9.124 hat der Hersteller mehrere sicherheitsrelevante Aenderungen implementiert, um die Schwachstelle CVE-2026-1357 zu schliessen und den Angriffsvektor deutlich zu reduzieren.
Erstens wird der Rueckgabewert von openssl_private_decrypt() nun streng geprueft. Tritt ein Fehler bei der RSA-Entschluesselung auf, wird die weitere Verarbeitung sofort abgebrochen, sodass kein ungueltiger Schluessel mehr in die AES-Routine gelangen kann.
Zweitens wurden Whitelist-Validierungen fuer Dateinamen und Pfade eingefuehrt. Sequenzen, die zu Directory Traversal fuehren koennten, werden entfernt oder die Verarbeitung wird verweigert. Drittens sind die zulaessigen Dateitypen nun auf Formate wie ZIP, GZ, TAR und SQL beschraenkt, was das Risiko des Uploads direkt ausfuehrbarer Skripte reduziert.
Empfehlungen fuer WordPress-Administratoren und Best Practices
Betreiber von WordPress-Seiten sollten das Plugin umgehend auf Version 0.9.124 oder hoeher aktualisieren. Der Verbleib auf Versionen bis 0.9.123 ist insbesondere dann kritisch, wenn die Option zum Empfang externer Backups in der Vergangenheit aktiviert war oder noch aktiv ist.
Darueber hinaus ist es sinnvoll, grundlegende Sicherheitsmassnahmen zu ueberpruefen: Nicht benoetigte Import- und Remote-Funktionen sollten deaktiviert werden, der Zugang zum Admin-Backend kann zusaetzlich durch IP-Restriktionen oder VPN geschuetzt werden. Ein Web Application Firewall (WAF)-Dienst hilft, bekannte Exploit-Muster wie Directory-Traversal- oder RCE-Payloads zu blockieren.
Ebenfalls empfehlenswert ist ein Monitoring der Dateiintegritaet, das unerwartete Aenderungen im Dateisystem – etwa neu abgelegte PHP-Skripte im Upload-Verzeichnis – fruehzeitig erkennt. In Verbindung mit regelmaessigen Updates aller Plugins und Themes sowie haeufigen, getrennt gespeicherten Backups entsteht ein mehrstufiges Sicherheitskonzept, das auch bei bislang unbekannten Schwachstellen das Risiko erfolgreicher Angriffe senken kann.
Die Enthuellung von CVE-2026-1357 in WPvivid Backup & Migration unterstreicht, wie schnell ein eigentlich nuetzliches WordPress-Plugin zum Einfallstor fuer Angreifer werden kann. Wer jetzt zeitnah aktualisiert, Funktionen mit hohem Risiko bewusst konfiguriert und in ein ganzheitliches Sicherheitskonzept investiert, reduziert die Wahrscheinlichkeit einer Kompromittierung deutlich und erhoeht die Resilienz seiner WordPress-Installation gegen künftige Angriffe.
