Eater
Een ernstige beveiligingslek in de Ninja Forms File Uploads premium add-on voor WordPress maakt het mogelijk om onbevoegd willekeurige bestanden te uploaden. Dit kan leiden tot het op afstand uitvoeren van schadelijke code.
Dit probleem, bekend als CVE-2026-0740, wordt momenteel actief misbruikt tijdens aanvallen. Volgens de WordPress-beveiligingsspecialist Defiant heeft hun Wordfence-firewall in de afgelopen 24 uur al duizenden aanvallen geblokkeerd.
Ninja Forms is een populaire WordPress-formulierbouwer waarmee gebruikers zonder programmeerkennis formulieren kunnen maken via een drag-en-drop interface. De File Upload-extensie, onderdeel van hetzelfde pakket, stelt gebruikers in staat om bestanden te uploaden.
Met een kritieke ernstscore van 9,8 op 10 betreft de kwetsbaarheid Ninja Forms File Upload versies tot en met 3.3.26.
Wordfence-onderzoekers ontdekten dat de kwetsbaarheid ontstaat door het ontbreken van een controle op bestandstype en extensie van het bestand dat wordt geüpload. Hierdoor kan een onbevoegde aanvaller willekeurige bestanden, zoals PHP-scripts, uploaden en tevens bestandsnamen manipuleren om zogenaamde ‘path traversal’ uit te voeren.
“De kwetsbare functie controleert vóór het verplaatsen van het bestand niet of de bestandsnaam een geldig type of extensie heeft,” aldus de onderzoekers.
“Dit betekent dat niet alleen veilig geachte bestanden kunnen worden geüpload, maar ook bestanden met een .php-extensie.”
“Doordat er geen sanering van bestandsnamen plaatsvindt, maakt de kwaadaardige parameter het mogelijk om de bestanden op andere locaties, bijvoorbeeld de webroot-directory, te plaatsen.”
“Hierdoor kunnen onbevoegde aanvallers kwaadaardige PHP-code uploaden en die vervolgens aanroepen, wat leidt tot het op afstand uitvoeren van code op de server.”
De gevolgen van deze kwetsbaarheid zijn ernstig: aanvallers kunnen webshells installeren en volledige controle over de website krijgen.
Ontdekking en oplossingen
De kwetsbaarheid werd ontdekt door beveiligingsonderzoeker Sélim Lanouar (bekend als whattheslime). Hij meldde het probleem op 8 januari via het Wordfence bug bounty-programma.
Na een snelle validatie deelde Wordfence de details dezelfde dag met de leverancier en stelde zij klanten tijdelijk beveiligingsmaatregelen via firewallregels beschikbaar.
Na grondige controles werd op 10 februari een gedeeltelijke oplossing ingevoerd. De volledige patch is uitgebracht in versie 3.3.27, beschikbaar vanaf 19 maart.
Doordat Wordfence dagelijks duizenden pogingen tot misbruik detecteert, wordt gebruikers van Ninja Forms File Upload dringend geadviseerd om zo snel mogelijk te upgraden naar de nieuwste versie.
Automatische pentesten tonen aan dat het lek bestaat. Business Application Security-tests (BAS) laten zien of uw beveiligingsmaatregelen het effectief tegenhouden. Helaas combineren de meeste teams deze twee methoden niet.
Dit whitepaper beschrijft zes controlepunten, waar de dekking ophoudt en biedt drie diagnostische vragen voor elke evaluatie van beveiligingstools.
