Kritische Sicherheitslücke in WPvivid Backup-Plugin betrifft 800.000 WordPress-Installationen

Schwachstelle ermöglicht Remote-Zugriff

Das Sicherheitsunternehmen Wordfence wurde am 12. Januar 2026 über eine gravierende Lücke im WordPress-Plugin „Migration, Backup, Staging – WPvivid Backup & Migration“ informiert. Die Schwachstelle betrifft alle Versionen bis einschließlich 0.9.123 und ermöglicht das Hochladen beliebiger Dateien ohne vorherige Anmeldung.

Angreifer können diese Lücke nutzen, um schädlichen Code auf anfällige Websites zu übertragen und anschließend Remote-Befehle auszuführen. Dies kann zur kompletten Übernahme der betroffenen Website führen.

Eingeschränkter Angriffsvektor

Die Schwachstelle tritt allerdings nur unter bestimmten Voraussetzungen auf: Nutzer müssen in den Plugin-Einstellungen einen generierten Schlüssel aktiviert haben, der es einer externen Website ermöglicht, Backups zu übermitteln. Diese Funktion ist werksseitig deaktiviert. Zudem kann die Gültigkeit des Schlüssels maximal auf 24 Stunden begrenzt werden.

Technischer Hintergrund der Lücke

Die Schwachstelle basiert auf einer fehlerhaften Fehlerbehandlung im RSA-Entschlüsselungsprozess kombiniert mit unzureichender Pfadvalidierung. Wenn die Entschlüsselung eines Sitzungsschlüssels mittels openssl_private_decrypt() fehlschlägt, bricht das Plugin den Vorgang nicht ab. Stattdessen wird der Wert „false“ an die AES-Verschlüsselung der phpseclib-Bibliothek weitergegeben.

Die Bibliothek interpretiert diesen falschen Wert als Sequenz aus Null-Bytes. Angreifer können so eine schädliche Payload mit einem vorhersehbaren Null-Byte-Schlüssel verschlüsseln. Zusätzlich akzeptiert das Plugin Dateinamen aus der entschlüsselten Payload ohne Bereinigung, was Directory-Traversal-Angriffe ermöglicht.

Über den Parameter wpvivid_action=send_to_site lassen sich dadurch PHP-Dateien in öffentlich erreichbare Verzeichnisse hochladen und ausführen. Wordfence blockierte innerhalb von 24 Stunden bereits 192 Angriffsversuche auf diese Schwachstelle.

Verantwortungsvolle Offenlegung

Der Sicherheitsforscher Lucas Montes (NiRoX) entdeckte die Lücke und meldete sie verantwortungsvoll über das Wordfence Bug Bounty Program. Für seinen Fund erhielt er eine Prämie von 2.145 US-Dollar. Die Meldung erfolgte lediglich fünf Tage nach Programmstart.

Wordfence kontaktierte das WPvivid-Team am 22. Januar 2026 und erhielt bereits am Folgetag eine Rückmeldung. Nach vollständiger Offenlegung der technischen Details veröffentlichte der Entwickler am 28. Januar 2026 die bereinigte Version 0.9.124.

Implementierte Schutzmaßnahmen

Der Hersteller behob die Schwachstelle durch zwei Änderungen: In der Funktion decrypt_message() wurde eine Prüfung auf Leerzeichen für den Wert $key eingefügt. Zusätzlich erhielt die Funktion send_to_site() eine Validierung der Dateierweiterung, sodass ausschließlich Backup-Dateitypen hochgeladen werden können.

Premium-Kunden von Wordfence erhielten bereits am 22. Januar 2026 eine Firewall-Regel zum Schutz vor Exploits. Nutzer der kostenlosen Version erhalten den gleichen Schutz ab dem 21. Februar 2026.

Handlungsempfehlung

Website-Betreiber sollten umgehend auf Version 0.9.124 oder neuer aktualisieren. Wer die Funktion zum Empfang externer Backups nutzt, sollte besonders zeitnah handeln und prüfen, ob aktuell ein Schlüssel aktiv ist.

Liebe Leserinnen und Leser,
es ist wieder Zeit für eine kurze Umfrage – und wir zählen auf Ihre Meinung! So können wir sicherstellen, dass unsere Inhalte genau das treffen, was Sie interessiert. Die Umfrage ist kurz und einfach auszufüllen – es dauert nur wenige Minuten. Vielen Dank, dass Sie sich die Zeit nehmen!
Hier geht es zur Umfrage