Dėl kritinio „Ninja Forms File Uploads“ aukščiausios kokybės priedo, skirto „WordPress“, pažeidžiamumas leidžia įkelti savavališkus failus be autentifikavimo, todėl kodas gali būti vykdomas nuotoliniu būdu.
Nustatyta kaip CVE-2026-0740, problema šiuo metu naudojama atakoms. Pasak „WordPress“ saugos bendrovės „Defiant“, jos „Wordfence“ ugniasienė per pastarąsias 24 valandas užblokavo daugiau nei 3600 atakų.
Daugiau nei 600 000 atsisiuntimų turinti „Ninja Forms“ yra populiari „WordPress“ formų kūrimo priemonė, leidžianti vartotojams kurti formas be kodavimo naudojant nuvilkimo sąsają. Jo failų įkėlimo plėtinys, įtrauktas į tą patį rinkinį, aptarnauja 90 000 klientų.
CVE-2026-0740 pažeidžiamumas, kurio kritinis sunkumo įvertinimas yra 9,8 iš 10, paveikia Ninja Forms failų įkėlimo versijas iki 3.3.26.
„Wordfence“ tyrėjų teigimu, trūkumą sukelia netinkamas failų tipų / plėtinių patvirtinimas paskirties failo pavadinime, leidžiantis neautentifikuotam užpuolikui įkelti savavališkus failus, įskaitant PHP scenarijus, ir taip pat manipuliuoti failų pavadinimais, kad būtų galima pereiti kelią.
„Funkcija neapima jokio failo tipo ar plėtinio patikros paskirties failo pavadinimui prieš perkėlimo operaciją pažeidžiamoje versijoje“, – aiškina Wordfence.
„Tai reiškia, kad galima įkelti ne tik saugius failus, bet ir failus su plėtiniu .php.“
„Kadangi nenaudojamas joks failo vardo valymas, kenkėjiškas parametras taip pat palengvina kelio perėjimą, leidžiantį failą perkelti net į webroot katalogą.
„Tai suteikia galimybę neautentifikuotiems užpuolikams įkelti savavališką kenkėjišką PHP kodą ir pasiekti failą, kad suaktyvintų nuotolinį kodo vykdymą serveryje.
Galimi išnaudojimo padariniai yra baisūs, įskaitant žiniatinklio apvalkalų diegimą ir visišką svetainės perėmimą.
Atradimas ir pataisymai
Pažeidžiamumą aptiko saugumo tyrinėtojas Sélimas Lanouaras (whattheslime), kuris sausio 8 d. pateikė jį Wordfence klaidų programai.
Po patvirtinimo „Wordfence“ pardavėjui atskleidė visą informaciją tą pačią dieną ir savo klientams pateikė laikinus sušvelninimo būdus, taikydama ugniasienės taisykles.
Po pataisų peržiūros ir dalinio pataisymo vasario 10 d. pardavėjas išleido visą pataisą 3.3.27 versijoje, kurią galima įsigyti nuo kovo 19 d.
Atsižvelgiant į tai, kad Wordfence kasdien aptinka tūkstančius išnaudojimo bandymų, Ninja Forms File Upload naudotojams primygtinai rekomenduojama teikti pirmenybę naujinimui į naujausią versiją.
Automatinis pentestavimas įrodo, kad kelias egzistuoja. BAS įrodo, ar jūsų valdikliai tai sustabdo. Dauguma komandų bėga viena be kitos.
Šiame dokumente pateikiami šeši patvirtinimo paviršiai, parodoma, kur baigiasi aprėptis, ir pateikiami gydytojai trys diagnostiniai klausimai, skirti įvertinti bet kokį įrankį.
