Un fallo de seguridad catalogado como CVE-2026-1357 ha sido identificado en el popular plugin WPvivid Backup & Migration para WordPress, utilizado para copias de seguridad y migraciones de sitios. La vulnerabilidad permite la carga de archivos arbitrarios y puede derivar en ejecución remota de código (RCE) sin autenticación, afectando potencialmente a más de 900 000 instalaciones activas.
Detalles de la vulnerabilidad CVE-2026-1357 en WPvivid Backup & Migration
La vulnerabilidad, con una puntuación de 9,8 en la escala CVSS, se considera de criticidad máxima, ya que puede conducir a la comprometición total del sitio. El problema impacta a todas las versiones del plugin hasta la 0.9.123 incluida.
El fallo fue reportado inicialmente el 12 de enero de 2026 por el investigador Lucas Montes (alias NiRoX) a la empresa de seguridad Defiant (responsable de Wordfence). Los desarrolladores de WPVividPlugins fueron notificados el 22 de enero y publicaron un parche en la versión 0.9.124 el 28 de enero de 2026, reduciendo significativamente la ventana de exposición para los sitios que se actualicen con rapidez.
Este incidente se enmarca en un contexto donde, según datos ampliamente citados de W3Techs, WordPress impulsa más del 40 % de los sitios web, lo que convierte a su ecosistema de plugins en un objetivo habitual para atacantes. Vulnerabilidades previas en plugins de copia de seguridad y migración han demostrado que el acceso a backups o a mecanismos de importación suele traducirse en compromisos graves del sitio.
Quién está realmente en riesgo: condiciones de explotación en WordPress
Aunque el vector teórico es grave, Defiant señala que CVE-2026-1357 no es explotable en todas las instalaciones por defecto. El factor determinante es la activación de la opción “receive backup from another site” (recibir copia de seguridad desde otro sitio) en la configuración de WPvivid.
Para que un atacante pueda explotar la vulnerabilidad deben cumplirse dos condiciones clave:
- Que la función de recepción de backups remotos esté habilitada en el sitio WordPress objetivo.
- Que el ataque se ejecute dentro de una ventana de 24 horas, que es la validez del token utilizado por WPvivid para autorizar la transferencia de copias de seguridad.
En la práctica, muchos administradores activan esta opción durante procesos de migración entre hostings o clonación de sitios de desarrollo a producción. Aunque a menudo se hace de forma temporal, no siempre se desactiva después, ampliando la superficie de ataque sin que el responsable del sitio sea consciente de ello.
Análisis técnico: criptografía defectuosa y traversal de directorios
Gestión incorrecta de errores en RSA y clave AES predecible
El origen de CVE-2026-1357 reside en la combinación de uso inseguro de criptografía y validación insuficiente. El plugin emplea la función openssl_private_decrypt() para descifrar datos mediante RSA. Si el descifrado falla, esta función devuelve false. Sin embargo, el código de WPvivid no detenía la ejecución tras el error y pasaba el valor devuelto a la rutina de cifrado simétrico basada en AES (Rijndael).
La biblioteca criptográfica interpretaba el valor false como una cadena de bytes nulos, generando así una clave de cifrado fija y predecible. Conociendo este comportamiento, un atacante podía construir un “backup” malicioso cifrado con esa clave conocida y lograr que WPvivid lo aceptara como un paquete legítimo de copia de seguridad.
Directory traversal y escritura de archivos fuera del directorio de backups
El segundo componente crítico del fallo es la falta de saneamiento de los nombres de archivo durante el proceso de importación de copias de seguridad. Esta omisión permitió ataques de tipo directory traversal, donde secuencias como ../ se utilizan para escapar del directorio previsto y escribir archivos en rutas arbitrarias del sistema de archivos.
Al combinar ambos problemas, un atacante podía:
- Subir archivos arbitrarios fuera de la carpeta designada para backups.
- Colocar scripts maliciosos en directorios accesibles desde la web, como el document root del sitio o
wp-content/uploads. - Ejecutar dichos scripts mediante una simple petición HTTP, logrando así ejecución remota de código sin necesidad de autenticarse.
En la práctica, esta cadena de explotación convierte el mecanismo de importación de copias de seguridad de WPvivid en un canal para eludir los controles de autenticación e instalar web shells o puertas traseras persistentes, una técnica común en incidentes reales de compromiso de sitios WordPress.
Parche de seguridad en WPvivid 0.9.124 y medidas recomendadas
La versión WPvivid Backup & Migration 0.9.124 introduce varias mitigaciones dirigidas específicamente a cerrar CVE-2026-1357:
- Se añade una comprobación estricta del resultado de
openssl_private_decrypt(), deteniendo el proceso si el descifrado RSA falla, evitando así el uso de claves AES inválidas o predecibles. - Se implementa una normalización y validación robusta de nombres de archivo, bloqueando secuencias de directory traversal y garantizando que los archivos sólo se escriban en rutas autorizadas.
- Se restringe la subida a tipos de archivo permitidos (por ejemplo, ZIP, GZ, TAR y SQL), reduciendo la probabilidad de que scripts ejecutables se introduzcan a través del canal de backup.
Dado el impacto potencial, se recomienda a los administradores de sitios WordPress que actualicen inmediatamente WPvivid a la versión 0.9.124 o superior. Mantener versiones ≤0.9.123, especialmente si se ha utilizado la opción de recibir copias de seguridad desde otros sitios, supone un riesgo significativo.
Más allá del parche, es aconsejable reforzar las buenas prácticas de seguridad en WordPress: desactivar funciones de importación remota cuando no se usen, limitar el acceso al panel de administración mediante IPs de confianza o VPN, desplegar un Web Application Firewall (WAF) que filtre peticiones maliciosas y habilitar soluciones de monitorización de integridad de archivos. La combinación de actualizaciones oportunas, configuración restrictiva y defensa en profundidad reduce de forma notable la probabilidad de explotación tanto de vulnerabilidades conocidas como de fallos futuros aún no publicados.
