Migration, Backup, Staging – WPvivid Backup & Migration <= 0.9.120 - Authenticated (Admin+) Arbitrary Directory Creation

Resumen ejecutivo

Se ha identificado una vulnerabilidad de baja gravedad en el plugin WPvivid Backup & Migration, que permite la creación arbitraria de directorios por usuarios autenticados con privilegios de administrador. Esta falla afecta a versiones anteriores a la 0.9.121 y fue publicada el 20 de diciembre de 2025.

Contexto técnico

La vulnerabilidad se origina en la forma en que el plugin maneja la creación de directorios, permitiendo a un administrador crear directorios en ubicaciones no autorizadas. Esto puede ser explotado si un atacante obtiene acceso a una cuenta de administrador.

Impacto potencial

El impacto potencial incluye la posibilidad de que un atacante cree directorios en el servidor, lo que podría llevar a la ejecución de código malicioso o al acceso no autorizado a datos sensibles. Aunque la gravedad es baja, no debe ser ignorada, ya que puede comprometer la integridad del sistema.

Vector de explotación

La explotación de esta vulnerabilidad generalmente requiere que un atacante tenga acceso a una cuenta de administrador en el sitio web. Una vez dentro, puede utilizar la funcionalidad del plugin para crear directorios arbitrarios.

Mitigación recomendada

Para mitigar esta vulnerabilidad, se recomienda actualizar el plugin WPvivid Backup & Migration a la versión 0.9.121 o superior. Además, se sugiere revisar los permisos de usuario y limitar el acceso a cuentas de administrador solo a usuarios de confianza.

Señales de detección

Señales de riesgo incluyen la creación de directorios inusuales en el servidor o registros de actividad sospechosa por parte de usuarios administradores. Monitorear los logs del servidor puede ayudar a identificar accesos no autorizados.

Alcance afectado

Las versiones afectadas son todas las anteriores a la 0.9.121 del plugin WPvivid Backup & Migration.