Meer dan 500.000 WordPress-websites hebben een cruciale beveiligingsupdate gemist voor een ernstige kwetsbaarheid in een plug-in, die het mogelijk maakt voor ongeauthenticeerde aanvallers om op afstand code uit te voeren. Deze kwetsbaarheid bevindt zich in de WPvivid Backup & Migration Plugin, die op meer dan 900.000 websites wordt gebruikt. Op 28 januari werd een update uitgebracht door de ontwikkelaars, maar na twee weken hebben slechts ongeveer 350.000 WordPress-sites de patch geïnstalleerd, waardoor 550.000 sites kwetsbaar blijven.

De WPvivid Backup & Migration Plugin wordt gebruikt voor het maken van back-ups, migreren en testen van WordPress-sites. Een probleem met het decryptieproces, samen met onvoldoende 'path sanitization', stelt ongeauthenticeerde aanvallers in staat om willekeurige PHP-bestanden naar publiek toegankelijke mappen te uploaden, wat leidt tot remote code execution, aldus beveiligingsbedrijf Wordfence. De kwetsbaarheid (CVE-2026-1357) heeft een impactscore van 9.8 op een schaal van 1 tot 10. Websites lopen alleen risico als ze een sleutel in de plug-in-instellingen hebben gegenereerd, waardoor een andere site back-ups naar hen kan sturen. Deze functie is standaard uitgeschakeld en gegenereerde sleutels verlopen na 24 uur. Wordfence waarschuwde de ontwikkelaars op 22 januari, waarna op 28 januari versie 0.9.124 werd uitgebracht om het probleem op te lossen. Sindsdien hebben ongeveer 350.000 van de meer dan 900.000 sites met de plug-in de patch geïnstalleerd, volgens gegevens van WordPress.org.