Half miljoen WordPress-sites missen update voor kritiek RCE-lek in plug-in

In dit artikel:

Meer dan een half miljoen WordPress-sites lopen nog risico op een kritieke kwetsbaarheid in de WPvivid Backup & Migration Plugin, die op ruim 900.000 sites is geïnstalleerd. Securitybedrijf Wordfence ontdekte dat een fout in het decryptieproces gecombineerd met ontbrekende path-sanitatie het mogelijk maakt voor ongeauthenticeerde aanvallers om PHP-bestanden naar publiek toegankelijke mappen te uploaden, wat uiteindelijk remote code execution (RCE) mogelijk maakt (CVE-2026-1357, severity 9.8).

Wordfence meldde het probleem op 22 januari aan de plug-inmakers; op 28 januari verscheen een beveiligingsupdate (versie 0.9.124). Uit WordPress.org-cijfers blijkt dat ongeveer 350.000 sites deze patch hebben geïnstalleerd, waardoor ongeveer 550.000 installaties nog onbeveiligd zijn. Websites zijn alleen kwetsbaar wanneer er in de plug-ininstellingen een key is gegenereerd (een optionele functie die standaard uitstaat en keys na 24 uur laat verlopen), maar voor degenen die die feature gebruikten is het risico zeer groot.

Aanbevolen stappen zijn direct updaten naar de gepatchte versie, controleren op ongebruikelijke bestanden of toegangspogingen, eventueel gegenereerde keys intrekken en de logbestanden en backups scannen op tekenen van misbruik. Organisaties die WPvivid gebruiken moeten prioritair handelen vanwege de hoge ernst van de kwetsbaarheid.