Критическая уязвимость в премиум-дополнении Ninja Forms File Uploads для WordPress позволяет загружать произвольные файлы без аутентификации, что может привести к удаленному выполнению кода.
Проблема, идентифицированная как CVE-2026-0740, в настоящее время используется в атаках. По данным компании Defiant, занимающейся безопасностью WordPress, ее файрвол Wordfence за последние 24 часа заблокировал более 3600 атак.
Имея более 600 000 загрузок, Ninja Forms является популярным конструктором форм для WordPress, позволяющим пользователям создавать формы без кодирования с помощью интерфейса drag-and-drop. Его расширение File Upload, входящее в тот же пакет, обслуживает 90 000 клиентов.
Уязвимость CVE-2026-0740, получившая критическую оценку серьезности 9.8 из 10, затрагивает версии Ninja Forms File Upload до 3.3.26 включительно.
По мнению исследователей Wordfence, сбой вызван отсутствием проверки типов/расширений файлов в целевом имени файла, что позволяет злоумышленнику без аутентификации загружать произвольные файлы, включая PHP-скрипты, а также манипулировать именами файлов для обхода путей (path traversal).
«В уязвимой версии функция не включает никаких проверок типа или расширения файла в целевом имени файла перед операцией перемещения», — объясняет Wordfence.
«Это означает, что можно загружать не только безопасные файлы, но и файлы с расширением .php».
«Поскольку не используется очистка имен файлов, вредоносный параметр также способствует обходу путей, позволяя переместить файл даже в корневой каталог веб-сервера».
«Это позволяет злоумышленникам без аутентификации загружать произвольный вредоносный PHP-код, а затем обращаться к файлу для запуска удаленного выполнения кода на сервере».
Потенциальные последствия эксплуатации могут быть катастрофическими, включая развертывание веб-шеллов и полный захват сайта.
Обнаружение и исправления
Уязвимость была обнаружена исследователем безопасности Селимом Лануаром (Sélim Lanouar, whattheslime), который сообщил о ней в программу Bug Bounty от Wordfence 8 января.
После проверки Wordfence раскрыла полные сведения поставщику в тот же день и предоставила временные меры смягчения последствий через правила файрвола своим клиентам.
После обзоров патчей и частичного исправления 10 февраля поставщик выпустил полное исправление в версии 3.3.27, доступной с 19 марта.
Учитывая, что Wordfence ежедневно обнаруживает тысячи попыток эксплуатации, пользователям Ninja Forms File Upload настоятельно рекомендуется в первую очередь обновиться до последней версии.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
