TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: WordPress > Hackers Targeting Ninja Forms Vulnerability That Exposes WordPress Sites to Takeover

Hackers Targeting Ninja Forms Vulnerability That Exposes WordPress Sites to Takeover

アプリ: WordPress プラグイン: Ninja Forms CVE-2026-0740

【要点】

◎Ninja Forms File Uploadsの重大脆弱性が実際に悪用されており、認証なしで任意ファイルをアップロードしてWordPressサイトを乗っ取られる恐れがある (SecurityWeek)


【訳】

ハッカーが「Ninja Forms」の脆弱性を狙い、WordPressサイトを乗っ取りの危険にさらしている


【要約】

CVE-2026-0740プラグインNinja FormsのFile Uploadsアドオンには、認証不要で任意ファイルをアップロードできる重大脆弱性CVE-2026-0740があり、攻撃者による悪用が確認されている。原因はファイル種別や保存先ファイル名の検証不備で、PHPファイルの配置やパストラバーサルを通じてリモートコード実行が可能になる。悪用されるとWebシェル設置やサイトの完全乗っ取りに至る恐れがあり、利用者には修正版3.3.27への早急な更新が推奨されている。


【ニュース】

◆Hackers Targeting Ninja Forms Vulnerability That Exposes WordPress Sites to Takeover (SecurityWeek, 2026/04/08 07:20)
[ハッカーが「Ninja Forms」の脆弱性を狙い、WordPressサイトを乗っ取りの危険にさらしている]

The vulnerability allows hackers to upload arbitrary files to a site’s server and achieve remote code execution.
[この脆弱性により、ハッカーはサイトのサーバーに任意のファイルをアップロードし、リモートでコードを実行することが可能になる。]

https://www.securityweek.com/hackers-targeting-critical-ninja-forms-bug-that-exposes-wordpress-sites-to-takeover/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022