Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Так просто сайты ещё не взламывали. Популярный плагин обнулил безопасность огромного числа веб-ресурсов

leer en español

WordPress Ninja Forms CVE-2026-0740 Селим Лануар Wordfence уязвимость RCE
Так просто сайты ещё не взламывали. Популярный плагин обнулил безопасность огромного числа веб-ресурсов
WordPress Ninja Forms CVE-2026-0740 Селим Лануар Wordfence уязвимость RCE

Привычный рабочий инструмент внезапно стал верным помощником хакеров.

image

Популярный плагин для WordPress неожиданно оказался слабым звеном для тысяч сайтов по всему миру. По данным Wordfence, ошибка в модуле загрузки файлов Ninja Forms открыла злоумышленникам прямой путь к серверам, и масштабы проблемы уже оцениваются в десятки тысяч ресурсов.

Уязвимость получила идентификатор CVE-2026-0740 и максимальную оценку по шкале CVSS — 9,8 балла. Речь идёт о возможности загрузки произвольных файлов без авторизации. Достаточно отправить специально подготовленный файл, не имея ни учётной записи, ни пароля. Уязвимость обнаружил специалист Селим Лануар, за находку ему выплатили вознаграждение.

Проблема кроется в работе дополнения Ninja Forms — File Upload, которое отвечает за приём пользовательских файлов. При обработке данных плагин проверяет тип исходного файла, но упускает критический момент — не контролирует расширение имени файла при сохранении на сервер. Одновременно отсутствует корректная очистка имени файла. Такая комбинация позволяет злоумышленнику подменить путь сохранения и обойти ограничения.

Атака даёт возможность загрузить вредоносный PHP-скрипт прямо в корневую директорию сайта. После запуска такого файла атакующий получает возможность удалённо выполнять команды на сервере. Дальше сценарий развивается быстро — кража базы данных, внедрение вредоносного кода в страницы, перенаправление посетителей на сторонние ресурсы или использование сервера для новых атак.

Проблема затрагивает все версии плагина вплоть до 3.3.26. Компания Wordfence сначала добавила защиту на уровне своего фаервола для платных пользователей в январе 2026 года, а затем распространила её и на пользователей бесплатной версии в феврале. Разработчики Ninja Forms выпустили частичное исправление в версии 3.3.25, а окончательно закрыли уязвимость в версии 3.3.27 в марте.

Сайты, которые до сих пор используют устаревшие версии дополнения, остаются лёгкой целью для автоматизированных сканеров. Учитывая простоту эксплуатации и отсутствие необходимости в авторизации, атаки могут происходить массово и практически без подготовки.