Vulnerabilidade crítica no Ninja Forms permite execução remota de código
Uma vulnerabilidade crítica foi identificada no complemento premium Ninja Forms File Uploads para WordPress, permitindo o upload de arquivos arbitrários sem autenticação, o que pode resultar em execução remota de código. Classificada como CVE-2026-0740, essa falha já está sendo explorada em ataques ativos, com mais de 3.600 tentativas bloqueadas pelo firewall Wordfence em apenas 24 horas. O Ninja Forms, um construtor de formulários popular com mais de 600.000 downloads, permite que usuários criem formulários sem codificação. A extensão de upload de arquivos, utilizada por cerca de 90.000 clientes, apresenta uma gravidade de 9.8 em 10. A vulnerabilidade se origina da falta de validação dos tipos de arquivos e extensões no nome do arquivo de destino, permitindo que atacantes não autenticados façam upload de arquivos maliciosos, incluindo scripts PHP. A exploração dessa falha pode levar a consequências severas, como a instalação de web shells e a tomada total do site. A vulnerabilidade foi descoberta em 8 de janeiro e um patch completo foi disponibilizado em 19 de março. Usuários do Ninja Forms File Upload são fortemente aconselhados a atualizar para a versão mais recente para mitigar riscos.