Hackers exploit critical flaw in Ninja Forms WordPress plugin
Mis à jour :
Exploitation critique de l’extension Ninja Forms pour WordPress
Une faille de sécurité critique affecte l’extension File Uploads de Ninja Forms pour WordPress, permettant à des attaquants non authentifiés de téléverser des fichiers arbitraires sur les serveurs ciblés. Cette vulnérabilité est actuellement activement exploitée, avec des milliers de tentatives d’attaque recensées quotidiennement.
Points clés :
- Impact : La faille permet le téléversement de scripts malveillants (PHP) et l’exécution de code à distance (RCE), pouvant mener à une prise de contrôle totale du site web (installation de web shells).
- Cause : Absence de validation des types de fichiers et des extensions lors du processus de téléversement, couplée à une absence de nettoyage des noms de fichiers, permettant également des attaques par traversée de répertoire.
- Popularité : Ninja Forms est utilisé sur plus de 600 000 sites, et son extension File Uploads compte 90 000 clients.
Vulnérabilité :
- CVE-2026-0740 : Score de sévérité critique de 9.8/10. Concerne toutes les versions de l’extension Ninja Forms File Upload jusqu’à la version 3.3.26.
Recommandation :
- Mise à jour immédiate : Tous les utilisateurs de l’extension doivent impérativement mettre à jour vers la version 3.3.27 ou supérieure, qui corrige définitivement la vulnérabilité.