Más de 3,600 intentos de explotación bloqueados en 24 horas. El fallo permite subir archivos PHP sin autenticación y tomar control total del servidor mediante path traversal.
Atacantes están explotando activamente una vulnerabilidad crítica en el plugin premium Ninja Forms File Upload para WordPress, según confirmó la empresa de seguridad Defiant a través de su plataforma Wordfence. El fallo, identificado como CVE-2026-0740 con una puntuación CVSS de 9.8 sobre 10, permite la carga de archivos arbitrarios sin necesidad de autenticación y ha resultado en más de 3.600 intentos de ataque bloqueados en las últimas 24 horas. La vulnerabilidad afecta a las versiones 3.3.26 y anteriores del complemento de pago, que cuenta con aproximadamente 90.000 clientes activos.
El problema radica en la ausencia total de validación de tipos de archivo y extensiones en el nombre del archivo destino antes de realizar la operación de carga. Según explicaron los investigadores de Wordfence en el reporte publicado por BleepingComputer, esta omisión permite que atacantes no autenticados suban scripts PHP maliciosos directamente al servidor. Además, la falta de sanitización en los nombres de archivo facilita el path traversal, lo que significa que los archivos pueden colocarse incluso en el directorio raíz web del servidor, haciendo posible la ejecución remota de código y la toma de control total del sitio.
Ninja Forms es un constructor de formularios para WordPress con más de 600.000 descargas que permite crear formularios mediante una interfaz de arrastrar y soltar sin necesidad de programación. Su extensión File Uploads, incluida en la misma suite, es especialmente popular en sitios corporativos que requieren formularios de contacto, solicitudes de empleo, portales de soporte o formularios de admisión donde los usuarios necesitan adjuntar documentos. Esta exposición pública convierte a la funcionalidad de carga de archivos en un vector de ataque de alto valor para los adversarios.
La vulnerabilidad fue descubierta por el investigador de seguridad Sélim Lanouar, conocido como whattheslime, quien la reportó al programa de bug bounty de Wordfence el 8 de enero de 2026. Tras la validación, Wordfence notificó al desarrollador el mismo día y desplegó reglas de firewall temporales para sus clientes.
Tras revisiones de parches y una corrección parcial el 10 de febrero, el proveedor lanzó finalmente el fix completo en la versión 3.3.27, disponible desde el 19 de marzo. Sin embargo, es importante señalar que la versión 3.3.25 solo contenía una corrección parcial, por lo que los sitios que actualizaron tempranamente deben verificar que estén ejecutando la 3.3.27 o superior.
Las consecuencias potenciales de la explotación son graves: desde la implementación de web shells hasta la toma de control completa del servidor. Los administradores de sitios WordPress que utilizan Ninja Forms File Uploads deben priorizar inmediatamente la actualización a la versión 3.3.27 o posterior. Adicionalmente, se recomienda revisar cualquier formulario público que utilice cargas de archivos, verificar la presencia de archivos PHP inusuales en directorios de carga y considerar deshabilitar temporalmente la funcionalidad de carga hasta confirmar que el entorno está seguro.
FUENTE ORIGINAL
BleepingComputer↗CURADO POR
Santiago Torres