Uma vulnerabilidade crítica no add-on premium Ninja Forms File Uploads para **WordPress** permite o upload de arquivos arbitrários sem autenticação, o que pode levar à execução remota de código. Identificado como **CVE-2026-0740**, o problema está sendo explorado em ataques. De acordo com a empresa de segurança do WordPress **Defiant**, seu firewall **Wordfence** bloqueou mais de 3.600 ataques nas últimas 24 horas. Com mais de 600.000 downloads, **Ninja Forms** é um popular construtor de formulários para WordPress que permite aos usuários criar formulários sem codificação usando uma interface de arrastar e soltar. Sua extensão File Upload atende a 90.000 clientes. Com uma classificação de severidade crítica de 9.8 em 10, a vulnerabilidade **CVE-2026-0740** afeta as versões do Ninja Forms File Upload até 3.3.26. De acordo com pesquisadores da **Wordfence**, a falha é causada pela falta de validação de tipos/extensões de arquivo no nome do arquivo de destino, permitindo que um atacante não autenticado faça upload de arquivos arbitrários, incluindo scripts PHP, e também manipule nomes de arquivo para permitir path traversal. "A função não inclui nenhuma verificação de tipo ou extensão de arquivo no nome do arquivo de destino antes da operação de movimentação na versão vulnerável", explica a **Wordfence**. "Isso significa que não apenas arquivos seguros podem ser carregados, mas também é possível carregar arquivos com extensão .php." "Como nenhuma sanitização de nome de arquivo é utilizada, o parâmetro malicioso também facilita o path traversal, permitindo que o arquivo seja movido até mesmo para o diretório webroot." "Isso possibilita que atacantes não autenticados façam upload de código PHP malicioso arbitrário e, em seguida, acessem o arquivo para acionar a execução remota de código no servidor." As potenciais repercussões da exploração são graves, incluindo a implantação de web shells e a tomada completa do site. ### Descoberta e correções A vulnerabilidade foi descoberta pelo pesquisador de segurança **Sélim Lanouar** (whattheslime), que a submeteu ao programa de bug bounty da **Wordfence** em 8 de janeiro. Após a validação, a **Wordfence** divulgou os detalhes completos ao fornecedor no mesmo dia e implementou mitigações temporárias via regras de firewall para seus clientes. Após revisões de patches e uma correção parcial em 10 de fevereiro, o fornecedor lançou uma correção completa na versão 3.3.27, disponível desde 19 de março. Dado que a **Wordfence** está detectando milhares de tentativas de exploração diariamente, os usuários do Ninja Forms File Upload são fortemente recomendados a priorizar a atualização para a versão mais recente.