Une vulnérabilité critique dans le module complémentaire premium **Ninja Forms** File Uploads pour **WordPress** permet le téléversement de fichiers arbitraires sans authentification, ce qui peut conduire à une exécution de code à distance. Identifié comme **CVE-2026-0740**, le problème est actuellement exploité dans des attaques. Selon la société de sécurité WordPress **Defiant**, son pare-feu **Wordfence** a bloqué plus de 3 600 attaques au cours des dernières 24 heures. Avec plus de 600 000 téléchargements, **Ninja Forms** est un constructeur de formulaires WordPress populaire qui permet aux utilisateurs de créer des formulaires sans codage grâce à une interface glisser-déposer. Son extension File Upload dessert 90 000 clients. Avec une note de criticité de 9,8 sur 10, la vulnérabilité **CVE-2026-0740** affecte les versions de Ninja Forms File Upload jusqu'à la 3.3.26. Selon les chercheurs de **Wordfence**, la faille est causée par un manque de validation des types/extensions de fichiers sur le nom de fichier de destination, permettant à un attaquant non authentifié de téléverser des fichiers arbitraires, y compris des scripts PHP, et de manipuler également les noms de fichiers pour permettre le déplacement de répertoire (path traversal). « La fonction n'inclut aucune vérification de type ou d'extension de fichier sur le nom de fichier de destination avant l'opération de déplacement dans la version vulnérable », explique **Wordfence**. « Cela signifie que non seulement des fichiers sûrs peuvent être téléversés, mais il est également possible de téléverser des fichiers avec une extension .php. » « Comme aucun assainissement du nom de fichier n'est utilisé, le paramètre malveillant facilite également le déplacement de répertoire, permettant au fichier d'être déplacé même dans le répertoire racine du web. » « Cela permet aux attaquants non authentifiés de téléverser du code PHP malveillant arbitraire, puis d'accéder au fichier pour déclencher une exécution de code à distance sur le serveur. » Les répercussions potentielles de l'exploitation sont désastreuses, y compris le déploiement de web shells et la prise de contrôle complète du site. ### Découverte et corrections La vulnérabilité a été découverte par le chercheur en sécurité **Sélim Lanouar** (whattheslime), qui l'a soumise au programme de bug bounty de **Wordfence** le 8 janvier. Après validation, **Wordfence** a divulgué les détails complets au fournisseur le même jour et a mis en place des mesures d'atténuation temporaires via des règles de pare-feu pour ses clients. Après des revues de correctifs et une correction partielle le 10 février, le fournisseur a publié un correctif complet dans la version 3.3.27, disponible depuis le 19 mars. Étant donné que **Wordfence** détecte des milliers de tentatives d'exploitation chaque jour, il est fortement recommandé aux utilisateurs de Ninja Forms File Upload de donner la priorité à la mise à niveau vers la dernière version.