WPvivid Backup & Migration (WordPress Plugin): ช่องโหว่วิกฤต CVE-2026-1357 ยอมให้ผู้ร้ายเข้ายึดเครื่องได้ มีการติดตั้งมากกว่า 900,000 ครั้ง

บล็อกของบริษัท Indusface และ Wordfence รายงานข่าวว่า

มีช่องโหว่ CVE-2026-1357 ในผลิตภัณฑ์

WPvivid Backup & Migration

มีระดับความรุนแรง “วิกฤต” คะแนนความรุนแรง 9.8 จากคะแนนเต็ม 10.0

ผู้ร้ายสามารถโจมตีด้วยวิธี uRCE

โดย upload ไฟล์ที่สร้างพิเศษ เข้าไปแตกตัวเป็น PHP file ในเครื่องของเหยื่อ

จากนั้น run ไฟล์ดังกล่าว เข้ายึดเครื่องได้โดยสมบูรณ์

ผู้ผลิตได้แก้ไขแล้วใน WPvivid Backup & Migration 0.9.124

จึงแจ้งมาเพื่อทราบ,

ภาคผนวก:

อ่านประกาศฉบับเต็มจาก Wordfence ได้ที่:

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/wpvivid-backuprestore/migration-backup-staging-09123-unauthenticated-arbitrary-file-upload

อ่านวิเคราะห์ช่องโหว่โดยละเอียดจาก Indusface ได้ที่:

https://www.indusface.com/blog/cve-2026-1357-wordpress-rce-wpvivid-plugin

อ่านข้อมูล CVE ได้ที่:

https://www.cve.org/CVERecord?id=CVE-2026-1357

และ

https://nvd.nist.gov/vuln/detail/CVE-2026-1357