広く利用されているWordPressプラグインが、世界中の数千のウェブサイトにとって危険な脆弱性として浮上しました。Wordfenceの調査によると、Ninja Formsのファイルアップロードモジュール内の重大な欠陥により、攻撃者はサーバーへの妨害されない入口を得られ、影響の規模は数万のデジタル資産に及ぶと推定されています。
CVE-2026-0740として指定されたこの脆弱性は、CVSSスケールで最大重大度評価9.8を獲得しました。これは任意のファイルの不正なアップロードを容易にします。攻撃者はシステムを侵害するために綿密に作成されたファイルを送信するだけで済み、ユーザーアカウントもパスワードも必要ありません。このセキュリティ上の欠陥は研究者Selim Lanoarによって特定され、その発見はバグバウンティで認識されました。
欠陥は、ユーザーが送信したデータの受信を管理するNinja Forms —ファイルアップロード拡張機能内に存在します。プラグインは最初のファイルタイプを精査しますが、重大な問題で失敗しています。保存時にファイル拡張子を検証していません。さらに、適切なファイル名のサニタイズが不足しているため、悪意のある行為者は宛先パスを操作し、既存の制約を回避できます。
このような悪用により、悪意のあるPHPスクリプトをウェブサイトのルートディレクトリに直接注入できます。実行されると、このスクリプトは攻撃者にリモートコード実行機能を与えます。その後の影響は通常急速にエスカレートし、データベースの流出、ウェブページへの悪意のあるコードの注入、違法なドメインへのトラフィック転送、または二次侵入のためのサーバーの乗っ取りが関係します。
この脆弱性はバージョン3.3.26より前のプラグインのすべてのバージョンに影響します。Wordfenceは2026年1月にプレミアムクライアント向けにファイアウォール保護を実装し、2月に無料利用者にこの防御を拡張しました。Ninja Formsの開発者はバージョン3.3.25で予備的なパッチを発行し、最終的に3月のバージョン3.3.27のリリースで欠陥を解決しました。
旧いバージョンの拡張機能を使い続けているウェブサイトは、自動スキャナーの簡単なターゲットのままです。悪用の容易さと認証要件の欠如を考えると、大規模な攻撃は最小限の準備で実行できます。
