Krytyczna luka wtyczki Ninja Forms - File Uploads umożliwiająca przesyłanie dowolnych plików

Krytyczna luka wtyczki Ninja Forms - File Uploads dla WordPress umożliwia przesyłanie dowolnych plików i zdalne wykonanie kodu. Zalecana natychmiastowa aktualizacja.
CVE-2026-0740CVSS 9.8CMS

Krytyczna luka wtyczki Ninja Forms - File Uploads umożliwiająca przesyłanie dowolnych plików

Krytyczna luka wtyczki Ninja Forms - File Uploads dla WordPress umożliwia przesyłanie dowolnych plików i zdalne wykonanie kodu. Zalecana natychmiastowa aktualizacja.

CVSS
9.8 CRITICAL
EPSS
98.89%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Ninja Forms - File Uploads dla WordPressa do wersji 3.3.26 zawiera lukę umożliwiającą nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer. Luka wynika z braku walidacji typu pliku w funkcji obsługującej upload, co może prowadzić do zdalnego wykonania kodu.

Wpływ biznesowy

Atakujący mogą wykorzystać tę lukę do przesłania złośliwych plików na serwer, co stwarza ryzyko przejęcia kontroli nad serwerem i potencjalnych poważnych naruszeń bezpieczeństwa. Właściciele stron korzystających z tej wtyczki powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej załatania lub ograniczenia ekspozycji.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie wtyczki Ninja Forms - File Uploads do wersji 3.3.27 lub nowszej, w której luka została całkowicie załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do funkcji uploadu, monitorować logi serwera pod kątem podejrzanej aktywności oraz przeprowadzić przegląd bezpieczeństwa środowiska WordPress.

Źródła