Une vulnérabilité critique dans l’extension Ninja Forms File Uploads pour WordPress a été identifiée. Cette faille permet le téléchargement de fichiers non authentifiés, ouvrant la voie à une exécution de code à distance. Référencée sous le nom de CVE-2026-0740, elle est actuellement exploitée dans des attaques. La société de sécurité Defiant a signalé que son pare-feu Wordfence a bloqué plus de 3 600 tentatives d’attaques au cours des dernières 24 heures.
Avec plus de 600 000 téléchargements, Ninja Forms est un constructeur de formulaires WordPress très utilisé qui facilite la création de formulaires via une interface de glisser-déposer. Son extension de téléchargement de fichiers est utilisée par 90 000 clients.
La vulnérabilité, notée 9.8 sur 10 en termes de gravité, affecte les versions du module jusqu’à 3.3.26. Selon les chercheurs de Wordfence, la faille résulte d’un manque de validation des types de fichiers ou des extensions sur le nom de fichier de destination, ce qui permet à un attaquant non authentifié de télécharger des fichiers arbitraires, y compris des scripts PHP, et de manipuler les noms de fichiers pour faciliter un chemin de traversée.
Wordfence précise que « la fonction ne vérifie pas les types de fichiers ou les extensions sur le nom de fichier de destination avant l’opération de déplacement dans la version vulnérable ». Cela signifie que des fichiers considérés comme sûrs peuvent également être téléchargés, notamment ceux avec une extension .php.
Le manque de validation des noms de fichiers permet également une traversée de répertoires, autorisant ainsi le déplacement de fichiers jusqu’au répertoire racine du serveur web. Cela donne aux attaquants non authentifiés la possibilité de charger du code PHP malveillant, facilitant ainsi l’exécution à distance sur le serveur.
Les conséquences potentielles d’une telle exploitation incluent la mise en place de shells web et la prise de contrôle totale du site.
Découverte et corrections
La faille a été découverte par le chercheur en sécurité Sélim Lanouar, qui l’a signalée dans le programme de récompenses de Wordfence le 8 janvier. Après vérification, Wordfence a divulgué les détails complets au vendeur le même jour et a mis en place des mesures temporaires via des règles de pare-feu pour ses clients.
Après des révisions du correctif et une solution partielle le 10 février, le vendeur a sorti un correctif complet dans la version 3.3.27, disponible depuis le 19 mars.
Étant donné que Wordfence détecte des milliers de tentatives d’exploitation quotidiennement, il est fortement recommandé aux utilisateurs de Ninja Forms File Upload de mettre à niveau vers la dernière version.