Критична вразливість завантаження файлів у плагіні Ninja Forms для WordPress

Вразливість у плагіні Ninja Forms дозволяє завантажувати довільні файли, що може призвести до віддаленого виконання коду. Оновіть плагін до 3.3.27.
CVE-2026-0740CVSS 9.8CMS

Критична вразливість завантаження файлів у плагіні Ninja Forms для WordPress

Вразливість у плагіні Ninja Forms дозволяє завантажувати довільні файли, що може призвести до віддаленого виконання коду. Оновіть плагін до 3.3.27.

CVSS
9.8 CRITICAL
EPSS
98.89%
Активно використовується
немає в KEV
Продукт
-

Що відомо

Плагін Ninja Forms - File Uploads для WordPress має критичну вразливість, що дозволяє неавторизованим користувачам завантажувати довільні файли через відсутність перевірки типу файлу у функції handle_upload. Це може призвести до віддаленого виконання коду на сервері сайту. Вразливість частково виправлена у версії 3.3.25 і повністю у 3.3.27.

Бізнес-вплив

Вразливість створює серйозну загрозу безпеці вебсайтів на базі WordPress із встановленим плагіном Ninja Forms - File Uploads версій до 3.3.26 включно. Зловмисники можуть завантажувати шкідливі файли, що потенційно дозволяє виконувати довільний код на сервері, що ставить під ризик цілісність і доступність ресурсів компанії.

Рекомендовані дії адміністратора

Адміністраторам слід негайно перевірити версію плагіна Ninja Forms - File Uploads і оновити його до версії 3.3.27 або новішої. Якщо оновлення неможливе, рекомендується обмежити можливість завантаження файлів, провести аудит логів на предмет підозрілої активності та посилити моніторинг безпеки вебсервера.

Джерела