TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > プラグイン: Ninja Forms > Hackers exploit critical flaw in Ninja Forms WordPress plugin

Hackers exploit critical flaw in Ninja Forms WordPress plugin

プラグイン: Ninja Forms アプリ: WordPress CVE-2026-0740

【要点】

◎WordPressプラグインNinja Forms File Uploadsの重大脆弱性CVE-2026-0740が実際に悪用されており、認証不要で任意ファイルをアップロードしてサイト乗っ取りに至る恐れがある (BleepingComputer)


【訳】

ハッカーがWordPressプラグイン「Ninja Forms」の重大な脆弱性を悪用


【要約】

WordPress向けアドオンNinja Forms File Uploadsに、認証なしで任意ファイルをアップロードできる重大脆弱性CVE-2026-0740が見つかり、実際に悪用が確認されている。原因は保存先ファイル名に対する拡張子やファイル種別の検証不足で、PHPファイルの配置やパストラバーサルを通じてリモートコード実行が可能となる。影響を受けるのは3.3.26以前で、3.3.27で修正済みのため、利用者には至急更新が強く推奨されている。


【ニュース】

◆Hackers exploit critical flaw in Ninja Forms WordPress plugin (BleepingComputer, 2026/04/07 18:03)
[ハッカーがWordPressプラグイン「Ninja Forms」の重大な脆弱性を悪用]
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-flaw-in-ninja-forms-wordpress-plugin/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022