90万サイト以上で稼働するWordPressプラグインに致命的なリモートコード実行(RCE)脆弱性
Original Title: WordPress plugin with 900k installs vulnerable to critical RCE flaw
Published (UTC): 2026-02-12T08:09:41+00:00
要旨(日本語)
– WordPress向け「WPvivid Backup & Migration」に認証不要の任意ファイルアップロードを悪用したRCE脆弱性が判明し、約90万超のサイトに影響
– 脆弱性はCVE-2026-1357(CVSS 9.8)で、v0.9.123までが対象となり、サイト乗っ取りに直結し得る重大性
– 影響が特に深刻になるのは、通常は無効の「別サイトからのバックアップ受信」機能を有効化しているサイト
– 攻撃には送信元サイトが生成する鍵の有効期限(24時間)という制約があり、露出は一定程度限定される
– ただし当該プラグインは移行やホスト間バックアップ転送で広く使われ、当機能を一時的に有効化する運用が一般的
– 根本原因はRSA復号エラー時の処理不備とパス検証(サニタイズ)の欠如という複合要因
– 復号失敗時に処理が停止せず予測可能な鍵素材が用いられる結果、不正ペイロードが受け入れられる恐れ
– ファイル名のサニタイズ不足によりディレクトリトラバーサルが可能となり、バックアップ領域外への書き込みや悪意のPHP設置からRCEに至る
– 研究者Lucas Montes(NiRoX)が1月12日にDefiantへ報告し、Defiantは検証後の1月22日にベンダーWPVividPluginsへ通知
– 対応修正版v0.9.124が1月28日に公開され、RSA失敗時の停止、ファイル名サニタイズ、ZIP/GZ/TAR/SQLなど許可形式への制限を実装
– プラグイン利用者は速やかにv0.9.124へ更新することが推奨される
– 記事末では、運用自動化をテーマとするTinesのガイド紹介も併載