CVE-2025-5961

Nome do Software Vulnerável e Versões Afetadas: Migration, Backup, Staging – Plugin WPvivid Backup & Migration para WordPress versões até a 0.9.116 inclusive

Descrição: O problema está relacionado ao upload arbitrário de arquivos devido à falta de validação de tipo de arquivo na função wpvivid upload import files. Isso permite que atacantes autenticados com acesso de nível de Administrador ou superior façam upload de arquivos arbitrários no servidor do site afetado, potencialmente possibilitando a execução remota de código. Observe que os arquivos carregados são acessíveis apenas em instâncias do WordPress executando no servidor web NGINX.

Recomendações: Para as versões até a 0.9.116 inclusive, atualize para uma versão que contenha uma correção para a falta de validação de tipo de arquivo na função wpvivid upload import files. Como medida paliativa temporária, considere restringir o acesso à funcionalidade de upload de arquivos para minimizar o risco de exploração. Além disso, restrinja o acesso aos arquivos carregados em servidores NGINX para prevenir a possível execução remota de código.