Uma vulnerabilidade crítica no complemento premium File Uploads do Ninja Forms para WordPress permite o envio de arquivos arbitrários sem autenticação, o que pode levar à execução remota de código.
Identificada como
CVE-2026-0740
, a falha já está sendo explorada em ataques.
Segundo a empresa de segurança WordPress Defiant, o firewall do Wordfence bloqueou mais de 3.600 tentativas de ataque nas últimas 24 horas.
Com mais de 600.000 downloads, o Ninja Forms é um construtor de formulários popular no WordPress, que permite criar formulários sem programação por meio de uma interface drag-and-drop.
A extensão File Upload, incluída no mesmo pacote, atende 90.000 clientes.
Classificada com severidade crítica de 9,8 em 10, a
CVE-2026-0740
afeta as versões do Ninja Forms File Upload até a 3.3.26.
Segundo pesquisadores da Wordfence, a falha ocorre pela ausência de validação do tipo de arquivo e da extensão no nome de destino, o que permite que um invasor sem autenticação envie arquivos arbitrários, incluindo scripts PHP, além de manipular nomes de arquivos para viabilizar path traversal.
“A função não inclui qualquer verificação de tipo de arquivo ou extensão no nome de destino antes da operação de movimentação na versão vulnerável”, explica a Wordfence.
“Isso significa que não apenas arquivos seguros podem ser enviados, mas também é possível fazer upload de arquivos com extensão .php.”
“Como não há sanitização do nome do arquivo, o parâmetro malicioso também facilita path traversal, permitindo mover o arquivo até mesmo para o diretório webroot.”
“Isso torna possível que invasores sem autenticação enviem código PHP malicioso arbitrário e, em seguida, acessem o arquivo para acionar a execução remota de código no servidor.”
As possíveis consequências da exploração são graves e incluem a instalação de web shells e o comprometimento total do site.
A vulnerabilidade foi descoberta pelo pesquisador de segurança Sélim Lanouar, conhecido como whattheslime, que a submeteu ao programa de bug bounty da Wordfence em 8 de janeiro.
Após a validação, a Wordfence divulgou todos os detalhes ao fornecedor no mesmo dia e aplicou uma mitigação temporária por meio de regras de firewall para seus clientes.
Depois de revisões do patch e de uma correção parcial em 10 de fevereiro, o fornecedor lançou a correção completa na versão 3.3.27, disponível desde 19 de março.
Diante da detecção de milhares de tentativas de exploração por dia pela Wordfence, usuários do Ninja Forms File Upload são fortemente recomendados a atualizar com prioridade para a versão mais recente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...