• Capa
  • Justiça
  • Tecnologia
Quinta-feira, Julho 16, 2026
18 °c
Dourados
24 ° Qui
27 ° Sex
Sem resultado
Ver todos os resultados
  • Início
  • Dourados

    Força-tarefa mira lixões e reforça ações de prevenção à saúde pública

    Concluída a limpeza do lago do Antenor Martins; prefeitura começa força-tarefa no Rego D’Água

    Vereador cobra providências da Sanesul para acabar com mau cheiro em bairros

    Chikungunya segue em desaceleração e notificações despencam em Dourados

    Terceiro Arraiá dos Ipês acontece nesta terça-feira com diversas atrações

    Douradenses superam adversários e vencem 7ª edição da Meia Maratona do Fogo

    Câmara de Dourados encerra 1º semestre com quase 3 mil proposições

    Frente de recuperação asfáltica avança e transforma ruas do Jardim Maipu

    Prefeitura abre sindicância contra Ana Paula por não cumprir horário como professora da Reme

  • Mundo
  • Política
  • Brasil
  • Policial
  • Agro
Sem resultado
Ver todos os resultados
FATONEWS :
  • Início
  • Dourados

    Força-tarefa mira lixões e reforça ações de prevenção à saúde pública

    Concluída a limpeza do lago do Antenor Martins; prefeitura começa força-tarefa no Rego D’Água

    Vereador cobra providências da Sanesul para acabar com mau cheiro em bairros

    Chikungunya segue em desaceleração e notificações despencam em Dourados

    Terceiro Arraiá dos Ipês acontece nesta terça-feira com diversas atrações

    Douradenses superam adversários e vencem 7ª edição da Meia Maratona do Fogo

    Câmara de Dourados encerra 1º semestre com quase 3 mil proposições

    Frente de recuperação asfáltica avança e transforma ruas do Jardim Maipu

    Prefeitura abre sindicância contra Ana Paula por não cumprir horário como professora da Reme

  • Mundo
  • Política
  • Brasil
  • Policial
  • Agro
Sem resultado
Ver todos os resultados
FATONEWS :
Sem resultado
Ver todos os resultados

900 mil sites WordPress estão vulneráveis a invasão por falha em plugin

Samuel Azevedo por Samuel Azevedo
13/02/2026
no Tecnologia
Tempo de leitura:5 minutos de leitura
16
A A
Compartilhe no FacebookCompartilhe no TwitterCompartilhe no LinkedinCompartilhe no WhatsAppCompartilhe no Telegram

Uma vulnerabilidade gravíssima foi descoberta no plugin WPvivid Backup & Migration, usado por mais de 900 mil sites WordPress em todo o mundo. A falha, identificada como CVE-2026-1357, recebeu pontuação de 9.8 em uma escala que vai até 10, sendo classificada como crítica pelos especialistas em segurança.

Plugins são extensões que adicionam funcionalidades extras ao WordPress, neste caso, o WPvivid permite fazer cópias de segurança e migrar sites entre servidores.

Leiatambém

Como a maior fabricante de chips do mundo criou uma elite milionária e transformou cidade de Taiwan

11/07/2026

Instagram flexibiliza regras da comunidade e vídeos de sexo explícito se propagam

09/07/2026

NetNut: a botnet de 2 milhões de aparelhos que virou alvo do FBI

07/07/2026

Perito da PF produziu arquivos ‘Moraes’ e ‘Toffoli’ a partir do celular de Vorcaro, diz investigação

04/07/2026

smart_display

Nossos vídeos em destaque

O mais alarmante é que a vulnerabilidade permite RCE (Remote Code Execution, ou Execução Remota de Código), ou seja, qualquer cibercriminoso consegue fazer o servidor executar comandos e programas maliciosos como se fosse o próprio dono do site.

Com RCE, criminosos conseguem executar esses comandos no servidor da vítima sem precisar de senha ou qualquer tipo de autenticação, assumindo controle total sobre o site.

Como funciona o ataque

A vulnerabilidade foi descoberta pelo pesquisador Lucas Montes (NiRoX) e reportada à Defiant, empresa especializada em segurança para WordPress, em 12 de janeiro. A falha está presente em todas as versões do plugin até a 0.9.123 e envolve uma combinação letal de erros no código.

O problema começa na funcionalidade “receber backup de outro site” (receive backup from another site), usada quando administradores querem transferir arquivos de backup entre diferentes instalações WordPress. Embora essa função não esteja ativada por padrão, ela é comumente habilitada durante migrações de sites e transferências entre hospedagens.

Quando essa funcionalidade está ativa, o plugin falha ao validar corretamente os dados criptografados recebidos. Criptografia é o processo de embaralhar informações para que apenas quem tenha a “chave” correta possa lê-las.

A descriptografia RSA é o processo inverso: usar uma chave privada para desembaralhar dados que foram criptografados com uma chave pública. RSA é um dos sistemas de criptografia mais usados na internet.

Especificamente, quando a descriptografia RSA não funciona, ou seja, quando o plugin não consegue “abrir o cofre” com a chave correta, o código não interrompe a execução como deveria. Em vez disso, passa um valor de erro para a próxima etapa do processo, criando uma chave de criptografia composta apenas de zeros.

Com essa chave previsível em mãos, hackers podem criar arquivos maliciosos criptografados que o plugin aceita como legítimos. Mas o plugin também não valida corretamente os nomes dos arquivos recebidos, permitindo que atacantes usem uma técnica chamada travessia de diretórios para salvar arquivos PHP maliciosos em diretórios públicos do site.

Durante a travessia de diretórios o plugin é programado para salvar arquivos exclusivamente na pasta designada para backups, mas o invasor envia um arquivo com o nome “../../themes/malware.php”. A sequência de dois pontos seguidos de barra (../) é interpretada pelos sistemas operacionais como um comando para retroceder um nível na hierarquia de diretórios.

Ao repetir essa sequência, o atacante consegue “escapar” do diretório protegido de backups e gravar o arquivo em qualquer localização do servidor, incluindo pastas publicamente acessíveis via internet.

Takeover completo do site

Uma vez que o arquivo malicioso está no servidor, o hacker simplesmente acessa esse arquivo através do navegador. Aqui entra outro detalhe importante: PHP é a linguagem de programação em que o WordPress é escrito.

Arquivos PHP executáveis são programas que o servidor web roda automaticamente quando alguém os acessa. É diferente de uma imagem ou documento, quando você acessa um arquivo .php, o servidor executa os comandos que estão dentro dele.

No caso desta vulnerabilidade, o hacker consegue colocar um arquivo PHP malicioso em uma pasta pública do site. Quando ele acessa esse arquivo pelo navegador (por exemplo, visitando sitedavitima.com/wp-content/themes/malware.php), o servidor executa o código PHP inserido, e a partir daí o atacante tem controle total.

Ele pode roubar dados do banco de dados, modificar o conteúdo do site, criar contas administrativas, instalar backdoors (portas dos fundos são códigos ocultos que permitem ao invasor voltar ao sistema mesmo depois que a falha original for corrigida) para acesso futuro ou até usar o servidor comprometido para atacar outros sistemas.

“A vulnerabilidade pode levar a um takeover completo do site”, alertam os pesquisadores da Defiant. Esse tipo de ataque é particularmente perigoso porque não deixa rastros óbvios inicialmente — o invasor já está dentro do sistema antes que qualquer alerta seja disparado.

Janela de 24 horas torna exploração mais complexa

Apesar da gravidade extrema, existem alguns fatores que limitam a exploração em massa da vulnerabilidade. Primeiro, como mencionado, a funcionalidade vulnerável não está ativada por padrão, os administradores precisam habilitá-la manualmente. Segundo, quando ativada, o plugin gera uma chave válida por apenas 24 horas.

No entanto, especialistas alertam que essas limitações são apenas barreiras parciais. Como o WPvivid é usado especificamente para migrações e transferências de backup, é muito provável que administradores ativem a função vulnerável em algum momento, criando janelas de oportunidade para ataques. Além disso, a falha criptográfica permite contornar parcialmente a proteção da chave de 24 horas.

Correção já está disponível

Após a validação da vulnerabilidade com provas de conceito, a Defiant notificou a WPVividPlugins, desenvolvedora do plugin, em 22 de janeiro. A correção foi lançada rapidamente na versão 0.9.124, em 28 de janeiro.

A atualização implementa três camadas de proteção. Primeiro ela adiciona verificação para interromper a execução se a descriptografia RSA falhar, implementa sanitização adequada dos nomes de arquivo para impedir escapadas de diretório, e restringe os uploads apenas a tipos de arquivo legítimos para backup (ZIP, GZ, TAR e SQL), bloqueando arquivos PHP executáveis que poderiam conter código malicioso.

Sanitização é o processo de “limpar” dados recebidos, removendo caracteres perigosos e validando que o nome do arquivo não contém truques como o directory traversal.

Especialistas recomendam que usuários do WPvivid Backup & Migration atualizem imediatamente para a versão 0.9.124. Com mais de 900 mil instalações potencialmente vulneráveis, é questão de tempo até que grupos de hackers criem scripts automatizados para explorar sites que ainda não foram atualizados.

Para verificar se seu site WordPress está usando o plugin e qual versão está instalada, acesse o painel administrativo, vá em “Plugins” e procure por “WPvivid”. Se a versão for 0.9.123 ou anterior, atualize imediatamente. Mesmo que a funcionalidade “receive backup from another site” não esteja ativa no momento, a presença do código vulnerável já representa um risco.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

Donation

Buy author a coffee

Donate

Related


Discover more from FATONEWS :

Subscribe to get the latest posts sent to your email.

Samuel Azevedo

Samuel Azevedo

Trabalhamos sempre pelo melhor!

NotíciasRelacionadas

Tecnologia

Como a maior fabricante de chips do mundo criou uma elite milionária e transformou cidade de Taiwan

11/07/2026
Tecnologia

Instagram flexibiliza regras da comunidade e vídeos de sexo explícito se propagam

09/07/2026
Tecnologia

NetNut: a botnet de 2 milhões de aparelhos que virou alvo do FBI

07/07/2026
Tecnologia

Perito da PF produziu arquivos ‘Moraes’ e ‘Toffoli’ a partir do celular de Vorcaro, diz investigação

04/07/2026
Tecnologia

Amazon lança centenas de satélites para construir nova constelação

02/07/2026
Tecnologia

Já ouviu falar de deep nude? Apps e IAs que tiram a roupa de pessoas em foto viram praga

28/06/2026

Recomendadas

Irmão de Silas Malafaia será suplente de candidato ao Senado do PL

4 minutos ago

PL volta a atacar no TSE pesquisa eleitoral que mostra Flávio Bolsonaro em desvantagem

5 minutos ago

Tendência

Flávio erra conta ao falar de tarifa da China sobre carne brasileira

4 dias ago

Presidente Vargas será interditada sábado e Monte Alegre no domingo para Meia Maratona do Fogo

5 dias ago

MAIS LIDAS

Trump pede que Israel “termine o trabalho” em Gaza

12 meses ago

Caso de bolo envenenado com arsênio completa um mês

1 ano ago
Screenshot

Quem é o juiz que atropelou ciclista ao dirigir embriagado com mulher nua no colo

12 meses ago

Trump limita comentários de perfil oficial no Instagram após brasileiros criticarem tarifaço: ‘país soberano’

1 ano ago

‘Dízimos para Deus’: Igreja Universal terá que devolver R$ 50 mil à fiel com bipolaridade

1 ano ago
FATONEWS :

Somos uma empresa de comunicação voltada a divulgar a notícia verdadeira, em amplo combate a fake news.

Categorias

  • Agro (180)
  • Brasil (1.155)
  • Capa (1.692)
  • Carros (115)
  • Cidades (780)
  • Cultura (149)
  • Dourados (915)
  • Economia (608)
  • Educação (64)
  • Eleições (33)
  • Esportes (11)
  • Justiça (464)
  • Land Mark (14)
  • Mundo (672)
  • Opinião (116)
  • Policial (430)
  • Política (811)
  • Saúde (379)
  • Sociedade (163)
  • Tecnologia (331)
  • Uncategorized (21)

Siga-nos

  • Capa
  • Justiça
  • Tecnologia

Copyright © 2012 - 2026, Reprodução permitida se citada a fonte. Samuka Câmara 67 98144-9925

Welcome Back!

Login to your account below

Forgotten Password?

Retrieve your password

Please enter your username or email address to reset your password.

Log In

Add New Playlist

Manage Consent
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional Sempre ativo
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes. The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
  • Gerir opções
  • Gerir serviços
  • Gerir {vendor_count} fornecedores
  • Leia mais sobre esses propósitos
View preferences
  • {title}
  • {title}
  • {title}
Sem resultado
Ver todos os resultados
  • Cart
  • Checkout
  • Home 1
  • My account
  • Sample Page
  • Shop

Copyright © 2012 - 2026, Reprodução permitida se citada a fonte. Samuka Câmara 67 98144-9925

Este site utiliza cookies. Ao continuar a utilizar este site, você concorda com a utilização de cookies.

Not enough quota to unlock this post
Unlock left : 0
Are you sure want to cancel subscription?