Критична ранливост во премиум додатокот Ninja Forms File Uploads за WordPress овозможува поставување на произволни датотеки без автентикација, што може да доведе до извршување на далечински код.

Проблемот, идентификуван како CVE-2026-0740, моментално се експлоатира во напади. Според компанијата за безбедност на WordPress, Defiant, нејзиниот заштитен ѕид Wordfence блокирал повеќе од 3.600 напади во последните 24 часа.

Ninja Forms е популарен градител на форми за WordPress со над 600.000 преземања, кој им овозможува на корисниците да создаваат форми без кодирање преку интерфејс за влечење и пуштање. Неговиот додаток за поставување датотеки, кој е дел од истиот пакет, опслужува 90.000 клиенти.

Со критична оценка на сериозност од 9,8 од 10, ранливоста CVE-2026-0740 ги засега верзиите на Ninja Forms File Upload до 3.3.26.

Според истражувачите на Wordfence, недостатокот е предизвикан од недостаток на валидација на типови/екстензии на датотеки на дестинациското име на датотеката, што овозможува на неавтентициран напаѓач да поставува произволни датотеки, вклучувајќи PHP скрипти, и исто така да манипулира со имињата на датотеките за да овозможи патувачки пат.

„Функцијата не вклучува никакви проверки на типот или екстензијата на датотеката на дестинациското име пред операцијата на преместување во ранливата верзија,“ објаснува Wordfence.

„Ова значи дека не само безбедни датотеки можат да се поставуваат, туку е можно и поставување на датотеки со .php екстензија.“

„Бидејќи не се користи никаква санитација на имињата на датотеките, злонамерниот параметар исто така овозможува патувачки пат, дозволувајќи датотеката да се премести дури и во веб-коренската директорија.“

„Ова овозможува на неавтентицирани напаѓачи да поставуваат произволен злонамерен PHP код и потоа да пристапат до датотеката за да предизвикаат извршување на далечински код на серверот.“

Потенцијалните последици од експлоатацијата се сериозни, вклучувајќи поставување на веб-шелови и целосно преземање на страницата.

Откривање и поправки

Ранливоста беше откриена од истражувачот за безбедност Селим Лануар (whattheslime), кој ја поднесе во програмата за награди за грешки на Wordfence на 8 јануари. По валидацијата, Wordfence ги откри целосните детали на продавачот истиот ден и воведе привремени мерки преку правила на заштитниот ѕид за своите клиенти.

По прегледите на закрпите и делумната поправка на 10 февруари, продавачот издаде целосна поправка во верзија 3.3.27, достапна од 19 март.

Бидејќи Wordfence открива илјадници обиди за експлоатација дневно, на корисниците на Ninja Forms File Upload им се препорачува да го приоритетизираат надградбата на најновата верзија.