ue, 07 Apr 2026
← VoltarUma vulnerabilidade crítica no complemento Ninja Forms File Uploads permite uploads de arquivos não autenticados, arriscando a execução remota de código. É explorado ativamente na natureza.
Uma vulnerabilidade crítica no complemento premium Ninja Forms File Uploads para WordPress permite o upload de arquivos arbitrários sem autenticação, o que pode levar à execução remota de código. Identificado como CVE-2026-0740, o problema é atualmente explorado em ataques. De acordo com a empresa de segurança WordPress Defiant, seu firewall Wordfence bloqueou mais de 3.600 ataques nas últimas 24 horas. Com mais de 600.000 downloads, Ninja Forms é um popular criador de formulários WordPress que permite aos usuários criar formulários sem codificação usando uma interface de arrastar e soltar.
Sua extensão File Upload, incluída no mesmo pacote, atende 90 mil clientes. Com uma classificação de gravidade crítica de 9,8 em 10, a vulnerabilidade CVE-2026-0740 afeta versões do Ninja Forms File Upload até 3.3.26. De acordo com os pesquisadores do Wordfence, a falha é causada pela falta de validação de tipos/extensões de arquivo no nome do arquivo de destino, permitindo que um invasor não autenticado carregue arquivos arbitrários, incluindo scripts PHP, e também manipule nomes de arquivos para permitir a travessia do caminho. “A função não inclui nenhuma verificação de tipo de arquivo ou extensão no nome do arquivo de destino antes da operação de movimentação na versão vulnerável”, explica Wordfence.
“Isso significa que não apenas arquivos seguros podem ser carregados, mas também é possível fazer upload de arquivos com extensão .php.” “Como nenhuma limpeza de nome de arquivo é utilizada, o parâmetro malicioso também facilita a travessia do caminho, permitindo que o arquivo seja movido até mesmo para o diretório webroot.” “Isso possibilita que invasores não autenticados carreguem código PHP malicioso arbitrário e, em seguida, acessem o arquivo para acionar a execução remota de código no servidor.” As possíveis repercussões da exploração são terríveis, incluindo a implantação de web shells e o controle total do site. Descoberta e correções A vulnerabilidade foi descoberta pelo pesquisador de segurança Sélim Lanouar (whattheslime), que a submeteu ao programa de recompensas de bugs do Wordfence em 8 de janeiro. Após a validação, o Wordfence divulgou todos os detalhes ao fornecedor no mesmo dia e enviou mitigações temporárias por meio de regras de firewall para seus clientes. Após análises de patch e uma correção parcial em 10 de fevereiro, o fornecedor lançou uma correção completa na versão 3.3.27, disponível desde 19 de março.
Dado que o Wordfence está detectando milhares de tentativas de exploração diariamente, é altamente recomendável que os usuários do Ninja Forms File Upload priorizem a atualização para a versão mais recente.