L’écosystème WordPress est une nouvelle fois confronté à une vulnérabilité de grande ampleur. En effet, une faille de sécurité découverte dans une extension de sauvegarde très répandue permettrait à des attaquants de prendre le contrôle total d’un site web, sans même avoir besoin de s’authentifier.
Avec plus de 800 000 installations actives dans le monde, l’exposition potentielle est massive, notamment pour les sites mal configurés…
Une faille critique dans WPvivid Backup & Migration
La vulnérabilité, référencée sous le nom CVE-2026-1357, affecte l’extension WPvivid Backup & Migration jusqu’à la version 0.9.123 incluse. Très utilisée pour les sauvegardes, les migrations et les environnements de test, elle souffrirait d’un problème d’upload arbitraire de fichiers sans authentification.
📩 L’actu digitale évolue vite. Restez à jour.
Recevez la newsletter quotidienne, gratuitement.
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Concrètement, un attaquant peut exploiter le paramètre « wpvivid_action=send_to_site« pour intégrer un fichier malveillant sur le serveur cible. En l’absence de contrôle strict sur les extensions et les chemins de destination, il devient possible d’écrire des fichiers PHP dans des répertoires accessibles publiquement, puis de les exécuter. Ces fichiers permettraient, ensuite, une prise de contrôle complète du site.
La faille repose notamment sur une mauvaise gestion des erreurs lors du déchiffrement RSA, où lorsque la fonction « openssl_private_decrypt() » échoue, elle renvoie une valeur incorrectement interprétée par le système de chiffrement AES utilisé. Cette faiblesse permet aux attaquants de générer des clés prévisibles et de contourner les mécanismes de protection.
Des sites vulnérables sous conditions…
Selon les analystes, tous les sites ne seraient pas exposés par défaut, car l’exploitation nécessite que la fonctionnalité de réception de sauvegarde depuis un autre site soit activée et via une clé générée temporairement valable jusqu’à 24 heures.
Si cette option est désactivée par défaut, elle peut être activée lors d’opérations de migration ou de restauration, et c’est précisément dans les cas où un administrateur active la fonctionnalité pour un transfert que le risque devient tangible.
La vulnérabilité a été découverte par Lucas Montes, et révélée par Bleeping Computer, dans le cadre du programme de bug bounty de Wordfence. Entretemps, l’éditeur de l’extension a publié un correctif avec la version 0.9.124, en intégrant une vérification stricte des erreurs de déchiffrement qui limite les types de fichiers autorisés (zip, gz, tar, sql) et empêche l’écriture hors du répertoire de sauvegarde.
Désormais, les administrateurs sont invités à mettre à jour immédiatement leur extension et à désactiver toute fonctionnalité de réception de sauvegarde qui ne serait pas utilisée. Alors que WordPress alimente une large part du web mondial, chaque extension devient un maillon stratégique de la chaîne de sécurité…