Aktívan kihasználják a Ninja Forms WordPress bővítmény kritikus sérülékenységét

enlightened Ez az oldal a közösségért készül. heart Kövess minket máshol is:  Linux Mint Magyar Közösség a Mastodon-on  Telegram csatorna – csak hírek  Beszélgessünk a Telegram – Linux csevegő csoport  Hírek olvasása RSS segítségével  Linux Mint Hivatalos Magyar Közösség a Facebook-on      Linux Mint Baráti Kör a Facebook-on
wink Ha hasznosnak találod, és szeretnéd, hogy folytatódjon, támogasd a munkát Ko-fi vagy Paypal segítségével. laugh

kami911 képe
Beküldte kami911 -

Egy kritikus sérülékenység a WordPresshez készült Ninja Forms File Uploads prémium bővítményben tetszőleges fájlok hitelesítés nélküli feltöltését teszi lehetővé, ami végső soron távoli kódfuttatáshoz vezethet (remote code execution, RCE). A CVE-2026-0740 azonosítón nyomon követett sebezhetőség aktív kihasználás alatt áll. A WordPress-biztonságra specializálódott Defiant vállalat tájékoztatása szerint a Wordfence tűzfal az elmúlt 24 órában több mint 3600 támadási kísérletet blokkolt.

A több mint 600 000 letöltéssel rendelkező Ninja Forms egy széles körben használt WordPress-alapú űrlapkészítő megoldás, amely drag-and-drop felületen, programozási ismeretek nélkül teszi lehetővé űrlapok létrehozását. Az ehhez kapcsolódó File Upload bővítményt mintegy 90 000 felhasználó alkalmazza.

A CVE-2026-0740 sérülékenység 9,8-as, kritikus CVSS-besorolást kapott, és a Ninja Forms File Uploads bővítmény 3.3.26-os verziójáig bezárólag minden kiadást érint.

A Wordfence kutatói szerint a sebezhetőség oka a feltöltött fájlok típusának és kiterjesztésének nem megfelelő ellenőrzése, különösen a célfájlnév feldolgozása során. Ez lehetővé teszi, hogy egy hitelesítés nélküli támadó tetszőleges fájlokat, köztük PHP szkripteket töltsön fel, valamint a fájlnevek manipulálásával path traversal támadást hajtson végre. A sikeres kihasználás súlyos következményekkel járhat: web shellek telepítése válhat levetővé, illetve a teljes webhely feletti irányítás átvétele is.

A sérülékenységet Sélim Lanouar kiberbiztonsági kutató azonosította, és január 8-án jelentette. A Wordfence a validálást követően még aznap megosztotta a technikai részleteket a fejlesztővel, és ideiglenes védelmi intézkedéseket vezetett be ügyfelei számára tűzfalszabályok formájában.

A javítási folyamat során egy kezdeti, részleges hibajavítást követően március 19-én megjelent a 3.3.27-es verzió, amely már a teljes körű javítást tartalmazza.

Tekintettel arra, hogy a Wordfence napi szinten több ezer kihasználási kísérletet észlel, a Ninja Forms File Uploads kiegészítőt használó rendszerek üzemeltetőinek haladéktalanul javasolt a legfrissebb verzióra történő frissítés.