Eine kritische Schwachstelle im Premium-Add-on **Ninja Forms** File Uploads für **WordPress** ermöglicht das Hochladen beliebiger Dateien ohne Authentifizierung, was zu Remote Code Execution führen kann. Die als **CVE-2026-0740** identifizierte Schwachstelle wird derzeit in Angriffen ausgenutzt. Laut dem WordPress-Sicherheitsunternehmen **Defiant** hat seine **Wordfence**-Firewall in den letzten 24 Stunden mehr als 3.600 Angriffe blockiert. Mit über 600.000 Downloads ist **Ninja Forms** ein beliebter WordPress Form Builder, der es Benutzern ermöglicht, Formulare per Drag-and-Drop ohne Programmierung zu erstellen. Seine File Upload-Erweiterung bedient 90.000 Kunden. Mit einer kritischen Schwerebewertung von 9,8 von 10 betrifft die **CVE-2026-0740**-Schwachstelle Ninja Forms File Upload Versionen bis 3.3.26. Laut **Wordfence**-Forschern wird der Fehler durch fehlende Validierung von Dateitypen/Erweiterungen beim Zieldateinamen verursacht. Dies ermöglicht es einem unauthentifizierten Angreifer, beliebige Dateien, einschließlich PHP-Skripte, hochzuladen und Dateinamen zu manipulieren, um Path Traversal zu ermöglichen. „Die Funktion enthält in der anfälligen Version keine Überprüfung von Dateitypen oder -erweiterungen beim Zieldateinamen, bevor die Verschiebung durchgeführt wird“, erklärt **Wordfence**. „Das bedeutet, dass nicht nur sichere Dateien hochgeladen werden können, sondern auch Dateien mit der Endung .php.“ „Da keine Bereinigung des Dateinamens erfolgt, ermöglicht der bösartige Parameter auch Path Traversal, wodurch die Datei sogar in das Webroot-Verzeichnis verschoben werden kann.“ „Dies ermöglicht es unauthentifizierten Angreifern, beliebigen bösartigen PHP-Code hochzuladen und dann auf die Datei zuzugreifen, um Remote Code Execution auf dem Server auszulösen.“ Die potenziellen Folgen der Ausnutzung sind gravierend und reichen von der Bereitstellung von Web-Shells bis zur vollständigen Übernahme der Website. ### Entdeckung und Behebung Die Schwachstelle wurde vom Sicherheitsforscher **Sélim Lanouar** (whattheslime) entdeckt, der sie am 8. Januar im Bug-Bounty-Programm von **Wordfence** einreichte. Nach der Validierung gab **Wordfence** die vollständigen Details noch am selben Tag an den Anbieter weiter und stellte seinen Kunden vorübergehende Abhilfemaßnahmen über Firewall-Regeln zur Verfügung. Nach Überprüfung des Patches und einer teilweisen Behebung am 10. Februar veröffentlichte der Anbieter in Version 3.3.27, die seit dem 19. März verfügbar ist, eine vollständige Behebung. Da **Wordfence** täglich Tausende von Ausnutzungsversuchen erkennt, wird Benutzern von Ninja Forms File Upload dringend empfohlen, ein Upgrade auf die neueste Version zu priorisieren.