広く利用されているWordPressアドオンであるNinja Formsファイルアップロードプラグインに、深刻なセキュリティ欠陥が発見されました。このプラグインは、ウェブサイト管理者が訪問者からドキュメント、画像、その他のメディアを受け取ることを可能にします。
CVE-2026-0740として正式に追跡されているこの認証なしの任意ファイルアップロード脆弱性は、最大重大度のCVSSスコア9.8を持っています。
現在、このエクステンションを利用しているアクティブなWordPressインストレーションは推定50,000以上あり、この欠陥はサイバー犯罪者が脆弱なウェブサーバーを侵害しようとするために、大規模な攻撃面を提示しています。
この重大な脆弱性はセキュリティ研究者Sélim Lanouarによって発見され、2026年1月8日にWordfence Bug Bounty Programを通じて責任を持って報告されました。
バグがもたらす深刻な脅威を認識したWordfenceは、Lanouarに2,145ドルのバウンティを授与しました。
この発見は、脅威アクターが広範囲の自動化された悪用キャンペーンで脆弱性を武器化する前に、容易に悪用可能な欠陥を特定することにおける独立系セキュリティ研究の膨大な価値を浮き彫りにしています。
エクスプロイトの技術的詳細
脆弱性の技術的分析は、プラグインが受信データをどのように検証するかにおける重大な見落としを明らかにしています。
脆弱性は、プラグインのAJAXコントローラークラスを介したアップロード処理を担当するコードに根ざしています。
開発者は初期ソースファイル名に対するファイルタイプチェックを正常に実装しましたが、アプリケーションがファイルをサーバーに保存するための移動操作を実行する直前に、宛先ファイル名のファイル拡張子を検証することに決定的に失敗しました。
プラグインはこの最終的な宛先ファイル名を適切にサニタイズしないため、攻撃者は意図されたセキュリティフィルタを完全にバイパスすることができます。
この見落としにより、認証なしのサイト訪問者は、標準的な安全なドキュメントの代わりに、悪意あるPHPスクリプトのような非常に危険な実行可能ファイルをアップロードすることができます。
さらに、厳密なパスサニタイズがないため、脅威行為者はパストラバーサル技法を利用することができます。
アップロードリクエストを操作することで、ハッカーはサーバーに悪意のあるペイロードをウェブサイトのルートディレクトリに直接保存するよう強制し、隔離され制限されたアップロードフォルダから完全に逃れることができます。
悪意あるPHPスクリプトがサーバー上のアクセス可能な場所に保存されると、攻撃者はそのファイルのURLをブラウザで移動して実行をトリガーするだけで済みます。
このシーケンスにより、攻撃者にリモートコード実行機能が付与され、ホスティング環境の完全な管理制御が事実上引き渡されます。
この立場から、ハッカーは静かに永続的なウェブシェルをインストール、機密データベース認証情報を流出させ、悪意あるSEOスパムを注入、またはランサムウェアをネットワークアーキテクチャ全体に展開することができます。
初期の1月の開示に続いて、Wordfenceはプレミアムユーザーにエクスプロイト試行を積極的にブロックするための仮想ファイアウォールパッチを迅速に展開しました。
プラグインベンダーは2026年2月10日にバージョン3.3.25で部分的な修正をリリースして、パッチプロセスを開始しました。
脆弱性は2026年3月19日にバージョン3.3.27のリリースで最終的に完全に解決されました。
Ninja Formsファイルアップロードエクステンションのバージョン3.3.26以降を実行しているウェブサイト管理者は、デジタルインフラストラクチャを差し迫った侵害から保護するために、バージョン3.3.27に直ちにアップグレードする必要があります。
翻訳元: https://gbhackers.com/50000-sites-running-ninja-forms-vulnerable/
