HackerNews 编译，转载请注明出处：

Ninja Forms文件上传高级插件存在关键漏洞，允许未经认证上传任意文件，可导致远程代码执行。

该漏洞编号CVE-2026-0740，目前正遭攻击利用。据WordPress安全公司Defiant称，其Wordfence防火墙过去24小时已拦截超过3600次攻击。

Ninja Forms是一款拥有超60万次下载的流行WordPress表单构建器，让用户无需编码即可使用拖放界面创建表单。其文件上传扩展同属该套件，服务9万客户。

CVE-2026-0740漏洞严重性评分9.8（满分10分），影响Ninja Forms文件上传3.3.26及之前版本。

据Wordfence研究人员称，该缺陷源于对目标文件名文件类型/扩展名缺乏验证，允许未经认证的攻击者上传任意文件（包括PHP脚本），还可操纵文件名实现路径遍历。

Wordfence解释：”该函数在易受攻击版本的移动操作前，未对目标文件名进行任何文件类型或扩展名检查。这意味着不仅可上传安全文件，还可上传.php扩展名文件。由于未使用文件名清理，恶意参数还便于路径遍历，允许将文件甚至移动到网站根目录。”

“这使未经认证的攻击者能够上传任意恶意PHP代码，然后访问文件以在服务器上触发远程代码执行。”

利用的潜在后果严重，包括部署Web shell和完全接管网站。

发现与修复

该漏洞由安全研究员Sélim Lanouar（whattheslime）发现，于1月8日提交至Wordfence漏洞赏金计划。

验证后，Wordfence同日向供应商披露完整细节，并通过防火墙规则向客户推送临时缓解措施。

经补丁审查及2月10日的部分修复后，供应商于3月19日发布3.3.27版本的完整修复。

鉴于Wordfence每日检测到数千次利用尝试，强烈建议Ninja Forms文件上传用户优先升级至最新版本。

---

消息来源：bleepingcomputer.com；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文