Le plugin de sauvegarde WPvivid Backup & Migration, utilisé par plus de 800 000 sites WordPress, est touché par une faille de sécurité critique. Avec un score CVSS de 9,8 sur 10, elle permet à un attaquant d'exécuter du code à distance sans même s'authentifier. Un correctif a été publié fin janvier, mais tous les sites concernés n'ont pas forcément encore fait la mise à jour.
Un problème de chiffrement
Cette faille est référencée CVE-2026-1357. Le problème vient en fait d'une mauvaise gestion des erreurs dans le processus de déchiffrement RSA du plugin. Quand la fonction de déchiffrement échoue, elle produit une valeur qui est mal interprétée par le système de chiffrement AES, et ça permet de générer des clés prévisibles. Un attaquant peut alors envoyer des fichiers PHP malveillants sur le serveur, sans même avoir besoin de s'authentifier, pratique donc (pour lui, pas pour vous).
Pas tous les sites concernés
Avant de paniquer,il faut savoir que la faille ne peut être exploitée que si l'administrateur du site a activé la fonctionnalité de réception de sauvegarde depuis un autre site. Dieu merci, cette option n'est pas activée par défaut, et la clé d'accès qu'elle génère expire au bout de 24 heures, ça limite un peu la casse. Mais pour des dites en plein migration ou restauration, c'est quand même très risqué. Toutes les versions du plugin jusqu'à la 0.9.123 sont à risque.
Le correctif fonctionne
La mise à jour ajoute une vérification stricte : si le déchiffrement RSA échoue, le processus s'arrête immédiatement au lieu de continuer avec des données corrompues. WPvivid a aussi ajouté une restriction sur les types de fichiers acceptés (uniquement zip, gz, tar et sql) et bloqué toute écriture en dehors du répertoire de sauvegarde. Sur le papier, ça bouche la faille. Par contre, les sites qui n'ont pas encore mis à jour sont toujours vulnérables, et avec 800 000 installations actives, il y a forcément des retardataires.
On en dit quoi ?
Un score CVSS de 9,8 sur un plugin installé 800 000 fois, c'est assez violent. Le côté rassurant, c'est que la fonctionnalité vulnérable est désactivée par défaut et que le correctif est arrivé rapidement. C'est propre. Mais le vrai problème avec WordPress, c'est toujours le même : les mises à jour de plugins, personne ne les fait dans la minute (ni même dans le mois parfois). Et entre le 22 janvier et aujourd'hui, ça laisse une fenêtre assez large pour les gens mal intentionnés. Si vous gérez un site WordPress avec WPvivid, allez donc vérifier votre version, c'est le genre de truc qu'on ne remet pas à demain.
