Обнаружена серьезная уязвимость безопасности в плагине Ninja Forms File Uploads, широко используемом дополнении, позволяющем администраторам сайтов принимать документы, изображения и другие медиафайлы от посетителей.
Уязвимость, официально зарегистрированная как CVE-2026-0740, позволяла загружать на сервер файлы без какой-либо аутентификации, за что получила очень высокий критический балл CVSS, равный 9.8.
Учитывая, что в настоящий момент это расширение активно на 50 000 сайтов WordPress, брешь в безопасности открывает для кибепреступников широкий горизонт потенциальных атак.
Нашел дыру в расширении эксперт Селим Лануар, который ответственно сообщил о ней через программу Wordfence Bug Bounty 8 января 2026 года.
Признавая серьезную угрозу, исходящую от данного бага, Wordfence наградили Селима поощрением в размере 2145 долларов.
Данное открытие подчеркивает огромную ценность независимых исследований в области безопасности для выявления легко эксплуатируемых уязвимостей еще до того, как они будут применены в автоматизированных вредоносных кампаниях.
Технические детали эксплойта
Технический анализ уязвимости выявил существенный недостаток в механизмах валидации входящих данных в плагине.
Уязвимость кроется в коде, отвечающем за обработку загрузки через класс AJAX-контроллера.
Хотя разработчики и реализовали проверку типа файла в исходном имени файла, этого оказалось недостаточно. В уязвимой версии функция _validate() не выполняет проверок типа файла или его расширения для целевого имени файла (на сервере) перед операцией перемещения. Соответственно, можно загружать не только безопасные файлы, но и файлы с расширением .php.
Кроме того, отсутствие строгой санитизации пути позволяет злоумышленникам использовать методы обхода путей (Path traversal). Манипулируя запросом на загрузку файлов, хакеры могут сохранить вредоносные php-скрипты непосредственно в корневой каталог сайта, полностью обойдя изолированные и ограниченные папки для загружаемых файлов.
Как только вредоносный PHP-скрипт будет сохранен в доступной локации на сервере, злоумышленнику останется лишь перейти по URL-адресу этого файла в своем браузере, чтобы инициировать его выполнение.
Эта последовательность действий открывает перед злоумышленником возможности по удаленному выполнению кода, фактически даруя ему полный контроль над средой хостинга.
Хакеры могут незаметно устанавливать постоянные веб-шеллы, получать конфиденциальные данные БД, внедрять SEO-спам или развертывать программы-вымогатели по всей сетевой архитектуре.
Разработчики плагина выпустили 10 февраля 2026 года промежуточный патч 3.3.25.
Полностью уязвимость была устранена 19 марта с выпуском версии 3.3.27.
Если вы используете старые версии расширения Ninja Forms File Uploads вплоть до 3.3.26 включительно, вам необходимо немедленно обновиться до 3.3.27, чтобы защитить свою цифровую инфраструктуру от неминуемой компрометации.
Источник: https://www.wordfence.com
