Una vulnerabilidad crítica en el complemento premium File Uploads de **Ninja Forms** para **WordPress** permite la carga de archivos arbitrarios sin autenticación, lo que puede conducir a la ejecución remota de código. Identificado como **CVE-2026-0740**, el problema está siendo explotado actualmente en ataques. Según la empresa de seguridad de WordPress **Defiant**, su firewall **Wordfence** bloqueó más de 3.600 ataques en las últimas 24 horas. Con más de 600.000 descargas, **Ninja Forms** es un popular creador de formularios de WordPress que permite a los usuarios crear formularios sin necesidad de codificación mediante una interfaz de arrastrar y soltar. Su extensión File Upload sirve a 90.000 clientes. Con una calificación de severidad crítica de 9.8 sobre 10, la vulnerabilidad **CVE-2026-0740** afecta a las versiones de Ninja Forms File Upload hasta la 3.3.26. Según investigadores de **Wordfence**, la falla es causada por la falta de validación de tipos/extensiones de archivo en el nombre de archivo de destino, lo que permite a un atacante no autenticado cargar archivos arbitrarios, incluidos scripts PHP, y también manipular nombres de archivo para permitir el recorrido de directorios (path traversal). “La función no incluye ninguna verificación de tipo o extensión de archivo en el nombre de archivo de destino antes de la operación de movimiento en la versión vulnerable”, explica **Wordfence**. “Esto significa que no solo se pueden cargar archivos seguros, sino que también es posible cargar archivos con extensión .php”. “Dado que no se utiliza ninguna sanitización de nombres de archivo, el parámetro malicioso también facilita el recorrido de directorios, permitiendo que el archivo se mueva incluso al directorio webroot”. “Esto hace posible que atacantes no autenticados carguen código PHP malicioso arbitrario y luego accedan al archivo para desencadenar la ejecución remota de código en el servidor”. Las repercusiones potenciales de la explotación son graves, incluido el despliegue de web shells y la toma completa del sitio. ### Descubrimiento y correcciones La vulnerabilidad fue descubierta por el investigador de seguridad **Sélim Lanouar** (whattheslime), quien la envió al programa de recompensas de errores de **Wordfence** el 8 de enero. Tras la validación, **Wordfence** divulgó los detalles completos al proveedor el mismo día y aplicó mitigaciones temporales a través de reglas de firewall a sus clientes. Después de revisiones de parches y una corrección parcial el 10 de febrero, el proveedor lanzó una corrección completa en la versión 3.3.27, disponible desde el 19 de marzo. Dado que **Wordfence** está detectando miles de intentos de explotación diarios, se recomienda encarecidamente a los usuarios de Ninja Forms File Upload que prioricen la actualización a la última versión.