WordPress向けバックアップ/移行系プラグインMigration, Backup, Staging – WPvivid Backup & Migration(WPvivid Backup & Migration)に、未認証の第三者が任意ファイルをアップロードでき、結果としてリモートコード実行(RCE)に至る可能性がある脆弱性 CVE-2026-1357が公開されました。CVSSは9.8(Critical)と評価されています。
Wordfenceの情報では、過去24時間で当該脆弱性を狙う攻撃を多数ブロックした旨も記載されており、公開直後から実運用環境へのサイバー攻撃へ悪用されている状況です
脆弱性の対象
CVE-2026-1357の影響を受けるのは、WordPressプラグインMigration, Backup, Staging – WPvivid Backup & Migration(wpvivid-backuprestore)の0.9.123以下です。未認証の第三者による任意ファイルアップロードが成立し得るため、インターネット公開サイトでは特にリスクが高いと整理されています。
対策バージョン
対策としては、WPvivid Backup & Migrationを0.9.124以降へアップデートしてください。WordPress公式ディレクトリ上でも現行版として0.9.124が案内されており、修正が含まれる前提で更新するのが最優先の対応になります。
原因(技術的なポイント)
Wordfenceの説明によると、本件は大きく2点の組み合わせです。
-
RSA復号処理のエラーハンドリング不備
openssl_private_decrypt()が失敗しても処理を中断せず、結果としてfalseが暗号初期化へ渡され、ライブラリ側でヌルバイト列として扱われることで、攻撃者が予測可能な鍵でペイロードを組み立てられる状況が生まれます。 -
ファイル名のサニタイズ不備
復号後ペイロード内のファイル名が適切にサニタイズされず、ディレクトリトラバーサルにより保護ディレクトリ外へ書き込みできる可能性があります。
結果として、wpvivid_action=send_to_siteパラメータを介して、未認証の任意ファイルアップロードからRCEに至り得る、と整理されています。








の報奨-200x200.png)