**WordPress**の**Ninja Forms** File Uploadsプレミアムアドオンにおける重大な脆弱性により、認証なしで任意のファイルをアップロードでき、リモートコード実行につながる可能性があります。 **CVE-2026-0740**として特定されたこの問題は、現在攻撃に悪用されています。WordPressセキュリティ企業**Defiant**によると、同社の**Wordfence**ファイアウォールは過去24時間で3,600件以上の攻撃をブロックしました。 60万件以上のダウンロードを誇る**Ninja Forms**は、ドラッグ＆ドロップインターフェースを使用してコーディングなしでフォームを作成できる人気のWordPressフォームビルダーです。そのFile Upload拡張機能は9万人の顧客に利用されています。 10点満点中9.8という重大な深刻度評価を持つ**CVE-2026-0740**脆弱性は、Ninja Forms File Uploadのバージョン3.3.26以前に影響します。 **Wordfence**の研究者によると、この脆弱性は、宛先ファイル名のファイルタイプ/拡張子の検証不足が原因で、認証されていない攻撃者がPHPスクリプトを含む任意のファイルをアップロードしたり、ファイル名を操作してパス・トラバーサルを可能にしたりすることができます。 「脆弱なバージョンでは、移動操作の前に宛先ファイル名に対してファイルタイプまたは拡張子のチェックが一切含まれていません」と**Wordfence**は説明しています。 「これは、安全なファイルだけでなく、.php拡張子を持つファイルもアップロードできることを意味します。」 「ファイル名のサニタイズが利用されていないため、悪意のあるパラメータはパス・トラバーサルも容易にし、ファイルがWebルートディレクトリに移動することも可能になります。」 「これにより、認証されていない攻撃者が任意の悪意のあるPHPコードをアップロードし、その後ファイルにアクセスしてサーバー上でリモートコード実行をトリガーすることが可能になります。」 悪用の潜在的な影響は壊滅的であり、Webシェル展開やサイトの完全な乗っ取りが含まれます。 ### 発見と修正 この脆弱性は、セキュリティ研究者である**Sélim Lanouar**（whattheslime）によって発見され、1月8日に**Wordfence**のバグバウンティプログラムに提出されました。 検証後、**Wordfence**は同日にベンダーに詳細をすべて開示し、顧客向けにファイアウォールルールを通じて一時的な緩和策をプッシュしました。 パッチレビューと2月10日の部分的な修正を経て、ベンダーは3月19日から利用可能なバージョン3.3.27で完全な修正をリリースしました。 **Wordfence**が毎日数千件の悪用試行を検出していることを考えると、Ninja Forms File Uploadのユーザーは最新バージョンへのアップグレードを最優先することを強く推奨します。