WordPress向けNinja Formsファイルアップロード プレミアム アドオンの重大な脆弱性により、認証なしで任意のファイルをアップロードできるようになり、リモートコード実行につながる可能性があります。
CVE-2026-0740として識別されたこの問題は、現在攻撃に悪用されています。WordPressセキュリティ企業Defiantによると、そのWordFenceファイアウォールは過去24時間で3,600件以上の攻撃をブロックしました。
600,000件以上のダウンロードを誇るNinja Formsは、ユーザーがドラッグアンドドロップインターフェースを使用してコーディングなしでフォームを作成できる一般的なWordPressフォームビルダーです。同じスイートに含まれるそのファイルアップロード拡張機能は、90,000人の顧客にサービスを提供しています。
CVE-2026-0740脆弱性は10点中9.8の重大度評価を持ち、Ninja Formsファイルアップロード バージョン3.3.26以前に影響します。
Wordfence研究者によると、この欠陥は宛先ファイル名のファイルタイプ/拡張子の検証がないことが原因であり、認証されていない攻撃者がPHPスクリプトを含む任意のファイルをアップロードでき、またファイル名を操作してパストトラバーサルを可能にします。
「この関数は、脆弱なバージョンの移動操作の前に、宛先ファイル名のファイルタイプまたは拡張子チェックを含んでいません。」Wordfenceは説明しています。
「これは、安全なファイルのみをアップロードできるだけでなく、.php拡張子を持つファイルをアップロードすることも可能であることを意味します。」
「ファイル名のサニタイズが利用されていないため、悪意のあるパラメータはパストトラバーサルも容易にし、ファイルはWebルートディレクトリに移動されることさえ可能にします。」
「これにより、認証されていない攻撃者が任意の悪意あるPHPコードをアップロードしてから、ファイルにアクセスしてサーバー上でリモートコード実行をトリガーすることが可能になります。」
悪用の潜在的な結果は深刻であり、Webシェルの展開と完全なサイト乗っ取りを含みます。
発見と修正
この脆弱性は、セキュリティ研究者のSélim Lanouar(whattheslime)によって発見され、1月8日にWordfenceのバグ報奨金プログラムに提出されました。
検証後、Wordfenceは同日にベンダーに詳細全体を開示し、ファイアウォールルール経由で顧客に一時的な軽減策を配信しました。
パッチレビューと2月10日の部分的な修正の後、ベンダーはバージョン3.3.27で完全な修正をリリースし、3月19日以降利用可能になっています。
Wordfenceが毎日数千の悪用の試みを検出していることを考えると、Ninja Formsファイルアップロードのユーザーは最新バージョンへのアップグレードを優先することを強くお勧めします。
