CVE-2026-0740 се експлоатира активно в реални атаки

Сериозна уязвимост в популярния WordPress плъгин Ninja Forms поставя под риск десетки хиляди сайтове, след като позволява качване на произволни файлове без удостоверяване. Проблемът, идентифициран като CVE-2026-0740, вече се използва активно от атакуващи.

Според данни на Defiant, чрез тяхното решение Wordfence са блокирани над 3 600 атаки само за последните 24 часа.

Уязвимостта е с критичен рейтинг 9.8/10 и позволява пълно компрометиране на засегнатите системи.

Как работи атаката: липса на контрол върху файловете и пътя

Засегнат е премиум модулът за качване на файлове (File Uploads), използван от около 90 000 клиента.

Основният проблем е:

• липса на проверка на типа и разширението на файла
• липса на филтриране (sanitization) на името на файла

Това позволява на атакуващите:

• да качват злонамерени PHP файлове
• да използват path traversal техники, за да позиционират файловете в чувствителни директории (включително webroot)

Комбинацията от arbitrary file upload и path traversal води директно до remote code execution (RCE).

Потенциални последствия: от web shell до пълен контрол

След успешна експлоатация, атакуващият може:

• да внедри web shell
• да изпълнява произволен код на сървъра
• да получи пълен административен достъп до сайта
• да използва компрометирания сайт за допълнителни атаки

Това превръща уязвимостта в директен вход към цялостно превземане на инфраструктурата.

Откриване и реакция: бърза координация, но реален риск остава

Уязвимостта е открита от изследователя Селим Лануар и докладвана чрез bug bounty програмата на Wordfence на 8 януари.

Хронология на реакцията:

• 8 януари – докладване и уведомяване на разработчика
• временно решение – внедрени защитни правила във firewall-а на Wordfence
• 10 февруари – частична корекция
• 19 март – пълна корекция във версия 3.3.27

Въпреки това, текущите данни показват, че:

• експлоатацията продължава активно
• много инсталации все още не са обновени

Xроничен проблем в WordPress екосистемата

Случаят отново подчертава структурен проблем:

• Популярни плъгини се превръщат в основен вектор за атака
• Допълнителните модули (add-ons) често са по-слабо защитени
• Липсата на базови проверки (input validation) води до критични уязвимости

Сигурността на WordPress сайтовете е толкова силна, колкото е най-слабият плъгин в екосистемата.

Препоръки към администраторите

• Незабавно обновяване до версия 3.3.27 или по-нова
• Деактивиране на модула, ако не е критично необходим
• Използване на Web Application Firewall (WAF)
• Ограничаване на възможностите за качване на файлове
• Мониторинг за съмнителни PHP файлове в webroot директории