WordPress 插件 Ninja Forms 的文件上传(File Uploads)高级扩展插件近日被曝存在严重安全漏洞(CVE-2026-0740),攻击者正利用该漏洞在未授权的情况下上传恶意文件,进而控制网站后台。
根据网络安全公司 Wordfence 的监测数据,该漏洞在过去 24 小时内已触发超过 3,600 次恶意攻击尝试。由于该插件广泛应用于网站表单构建,安全专家警告称,未及时更新的站点正面临被完全接管的风险。
漏洞原理与攻击风险
该漏洞的严重程度评分高达 9.8 分(满分 10 分),影响所有 3.3.26 及之前版本的 Ninja Forms 文件上传扩展。Wordfence 研究人员指出,核心问题在于插件处理上传文件时缺乏必要的验证机制。
“该插件在执行移动操作之前,未对目标文件名进行任何文件类型或扩展名检查,” Wordfence 在报告中解释称,“这意味着攻击者不仅可以上传安全文件,还能上传 .php 后缀的脚本文件。”
此外,由于插件未能对文件名进行过滤,攻击者可以利用路径遍历技术将恶意脚本移动到网站的根目录。一旦上传成功,攻击者便能通过访问该文件触发远程代码执行,从而部署 Web Shell 或完全接管受害者的网站服务器。
该漏洞由安全研究人员 Sélim Lanouar(网名 whattheslime)于今年 1 月 8 日提交至 Wordfence 的漏洞赏金计划。在经过验证并向厂商通报后,厂商于 3 月 19 日正式发布了 3.3.27 版本以修复该隐患。
鉴于目前该漏洞已被广泛利用,安全专家强烈建议所有使用 Ninja Forms 文件上传扩展的网站管理员立即检查插件版本。用户应尽快更新至最新版本,以封堵这一严重的攻击途径。
