WordPress Ninja Forms CVE-2026-0740: file upload senza validazione consente webshell, oltre 118.000 attacchi bloccati

La CVE-2026-0740 (CVSS 9.8) è una vulnerabilità di Unrestricted File Upload nel plugin premium Ninja Forms – File Uploads per WordPress, presente in circa 50.000 installazioni attive. La causa radice è l'assenza di validazione del tipo di file nella funzione NF_FU_AJAX_Controllers_Uploads::handle_upload: il plugin verifica l'estensione del nome file sorgente ma non quella del nome destinazione, permettendo a un attaccante non autenticato di manipolare il percorso di destinazione e caricare file PHP eseguibili — webshell, backdoor, RAT — in directory accessibili via web. Secondo CyCognito, la flaw è sfruttabile anche per path traversal verso directory sensibili.

Lo sfruttamento massivo è iniziato il giorno stesso della divulgazione pubblica (6 aprile 2026): Wordfence riporta un picco tra il 9 e il 13 aprile e oltre 118.600 tentativi di exploit bloccati dal proprio firewall solo nelle prime settimane. I siti che usano l'estensione premium potrebbero non ricevere aggiornamenti automatici attraverso il canale WordPress.org: gli amministratori devono verificare manualmente la versione nel dashboard.

Versioni affette: Ninja Forms – File Uploads ≤ 3.3.26 (la 3.3.25 è solo parzialmente patched).
Azione raccomandata: aggiornare immediatamente alla versione 3.3.27; verificare la presenza di file PHP anomali in wp-content/uploads/; configurare il server per bloccare l'esecuzione di script nelle directory di upload.

Fonti: ACN, Cycognito, Reddit