¡Atención usuarios de WordPress! Una vulnerabilidad crítica ha sido descubierta en el popular add-on de carga de archivos para Ninja Forms, una herramienta utilizada por miles de sitios web para crear formularios de contacto y recolección de datos.
Identificada como CVE-2026-0740, esta falla de seguridad permite a atacantes no autenticados subir archivos arbitrarios al servidor sin necesidad de credenciales. Lo más preocupante es que esta acción puede conducir a la ejecución remota de código (RCE), lo que significa que un atacante podría tomar el control total del servidor.
La empresa de seguridad Wordfence ha reportado que su firewall ha bloqueado más de 3,600 intentos de explotación en las últimas 24 horas. Esto subraya la urgencia de la situación. Ninja Forms es un constructor de formularios muy utilizado, con más de 600,000 descargas, y su extensión de carga de archivos es utilizada por alrededor de 90,000 clientes.
Detalles de la Vulnerabilidad:
Con una puntuación de severidad de 9.8 sobre 10, la vulnerabilidad afecta a las versiones de Ninja Forms File Upload hasta la 3.3.26. El problema radica en la falta de validación de tipos y extensiones de archivo en el nombre del archivo de destino. Esto permite a un atacante:
- Subir archivos maliciosos, incluyendo scripts PHP. 😈
- Manipular los nombres de archivo para realizar path traversal, moviendo el archivo a directorios críticos del servidor, como la webroot. 📂
- Ejecutar código PHP arbitrario, lo que puede llevar al compromiso total del sitio web. 💥
Las consecuencias de una explotación exitosa van desde el despliegue de web shells hasta la toma completa del sitio.
Descubrimiento y Solución Rápida:
El investigador Sélim Lanouar descubrió la falla y la reportó a Wordfence el 8 de enero. La vulnerabilidad fue notificada al proveedor el mismo día. Wordfence implementó mitigaciones temporales a través de sus reglas de firewall. Tras una revisión y una corrección parcial el 10 de febrero, el proveedor lanzó la versión 3.3.27 el 19 de marzo, que incluye la solución completa.
Recomendación NK: ¡Actualiza Inmediatamente!
Dado que se están detectando miles de intentos de ataque a diario, en NK recomendamos encarecidamente a todos los usuarios de la extensión Ninja Forms File Upload que actualicen a la versión 3.3.27 o superior de inmediato. Proteger tus formularios y tu sitio web es crucial para la seguridad de tus datos y los de tus clientes.
Si necesitas ayuda para evaluar la seguridad de tu sitio WordPress, implementar parches de seguridad, o si buscas soluciones robustas para la protección de tus datos y sistemas, no dudes en contactarnos. Ofrecemos servicios de consultoría tecnológica y soluciones de Firewall y Antivirus para mantener tu infraestructura segura. ¡Contáctanos en www.nkcore.com/contactanos/!
