Plataforma
wordpress
Componente
backwpup
Corrigido em
5.6.7
5.6.7
Uma vulnerabilidade de Inclusão de Arquivo Local (LFI) foi descoberta no plugin BackWPup para WordPress. Essa falha, presente em versões até 5.6.6, permite que atacantes autenticados com acesso de Administrador ou superior incluam arquivos PHP arbitrários no servidor através do parâmetro block_name no endpoint REST /wp-json/backwpup/v1/getblock. A exploração bem-sucedida pode levar à leitura de informações confidenciais ou à execução remota de código.
A vulnerabilidade LFI no BackWPup permite que um atacante autenticado, com privilégios de administrador, inclua arquivos PHP arbitrários no servidor. Isso significa que um atacante pode ler arquivos sensíveis, como o wp-config.php, que contém informações de conexão com o banco de dados e chaves de segurança. A leitura deste arquivo pode permitir o acesso completo ao banco de dados do WordPress. Em configurações específicas, a inclusão de arquivos PHP pode ser explorada para executar código malicioso no servidor, comprometendo a integridade e a confidencialidade do site WordPress. A ausência de uma sanitização recursiva adequada do caminho de arquivo é a causa raiz da vulnerabilidade.
A vulnerabilidade CVE-2026-6227 foi divulgada em 2026-04-13. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA KEV). A existência de um endpoint REST com uma falha de inclusão de arquivo torna a exploração relativamente simples para atacantes com acesso de administrador ao site WordPress. A ausência de uma validação adequada do parâmetro block_name facilita a manipulação para incluir arquivos arbitrários.
WordPress websites utilizing the BackWPup plugin, particularly those running versions 5.6.6 or earlier, are at risk. Shared hosting environments where multiple WordPress installations share the same server are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others. Sites with weak administrator password policies are also at increased risk.
• wordpress / composer / npm:
grep -r '....//' /var/www/html/wp-content/plugins/backwpup/includes/class-backwpup-rest.php• generic web:
curl -I 'https://your-wordpress-site.com/wp-json/backwpup/v1/getblock?block_name=....//wp-config.php' | grep 'HTTP/1.1' # Check for 403 Forbidden or other error indicating access denieddisclosure
Status do Exploit
EPSS
0.41% (percentil 61%)
CISA SSVC
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2026-6227 é atualizar o plugin BackWPup para a versão 5.6.7 ou superior, que corrige a falha. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere restringir o acesso ao endpoint /wp-json/backwpup/v1/getblock através de um firewall de aplicação web (WAF) ou proxy reverso, bloqueando requisições com parâmetros block_name suspeitos. Monitore os logs de acesso e erro do WordPress em busca de tentativas de inclusão de arquivos maliciosos. Após a atualização, verifique se o endpoint /wp-json/backwpup/v1/getblock não permite mais a inclusão de arquivos arbitrários, testando com diferentes sequências de path traversal.
Atualize para a versão 5.6.7, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-6227 is a Local File Inclusion vulnerability in the BackWPup plugin for WordPress, allowing authenticated administrators to include arbitrary PHP files.
You are affected if you are using BackWPup version 5.6.6 or earlier. Upgrade to 5.6.7 to mitigate the risk.
Upgrade the BackWPup plugin to version 5.6.7 or later. Consider restricting access to the vulnerable endpoint as a temporary workaround.
There are currently no confirmed reports of active exploitation, but public POCs are likely to emerge.
Refer to the BackWPup plugin website or WordPress.org plugin page for the latest advisory and update information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.