Uma falha crítica no plugin premium File Uploads Ninja Forms para WordPress está sendo explorada na prática e pode permitir que os atacantes aumentem arquivos arbitrários sem autenticação, com o risco real de execução remota de código em sites vulneráveis. A vulnerabilidade, registrada como CVE-2026-0740, recebeu uma pontuação de gravidade muito alta (CVSS 9.8/10) e afeta as versões de Ninja Forms File Upload até 3.3.26; o desenvolvedor publicou uma correção completa na versão 3.3.27 em 19 de março.
Ninja Forms é uma ferramenta muito estendida para criar formulários no WordPress através de uma interface visual; o plugin base acumula mais de 600.000 downloads e sua extensão de aumento de arquivos atende dezenas de milhares de clientes, segundo seus próprios números na página de extensões ( cerca de 90.000 clientes). Essa popularidade torna a extensão vulnerável em um alvo atrativo para os atacantes: a empresa de segurança Wordfence relatou milhares de tentativas de exploração todos os dias e bloqueou mais de 3.600 ataques em 24 horas Nas suas paredes de proteção.
Em que consiste o problema técnico? Segundo a análise dos pesquisadores do Wordfence, a função vulnerável não valida a extensão nem o tipo do arquivo no nome de destino antes de mover o arquivo para o disco. Essa ausência de controlos permite o envio de ficheiros com extensões perigosas - por exemplo .php - e, além disso, manipular o nome para gerar travessias de diretório que coloquem o arquivo em rotas acessíveis do servidor web. Consequentemente, um ator malicioso pode colocar um programa PHP dentro da árvore pública do site e, ao aceder do navegador, executar código no servidor.
As consequências práticas vão desde a implantação de shells web que conferem controle remoto, até a completa suplantação do site e uso do servidor para atividades maliciosas. Dada a facilidade de exploração (não é necessária autenticação) e a capacidade de executar o código, a vulnerabilidade representa um risco imediato para qualquer instalação que ainda utilize uma versão vulnerável do complemento.
O achado foi relatado pelo pesquisador Sélim Lanouar (conhecido como whattheslime) através do programa de recompensas do Wordfence em 8 de janeiro. O Wordfence validou o relatório, informou os detalhes do provedor e deu regras temporárias em seu firewall para mitigar a ameaça aos seus clientes enquanto trabalhava na correção. Após uma revisão inicial e uma correção parcial em fevereiro, o fornecedor publicou a correção definitiva na versão 3.3.27 em 19 de março; o resumo e o cronograma da divulgação estão disponíveis na análise técnica do Wordfence ( entrada do blog Wordfence).
Se você administra um site que usa o Ninja Forms com a extensão de carga de arquivos, a recomendação imediata e mais eficaz é atualizar o mais rapidamente possível para a versão 3.3.27 ou posterior. Atualizar é a forma mais segura de remover a janela de oportunidade que os atacantes estão explodindo. Se por alguma razão não puder aplicar a atualização imediata, existem medidas temporárias que reduzem o risco: activar regras de firewall de aplicativos web (WAF) como as do Wordfence, desativar a extensão File Uploads até que você possa patchar, e aplicar restrições no servidor que impeçam a execução de arquivos PHP nas pastas de subida.
Além de adesivos, convém rever sinais de compromisso: inspecionar os logs de acesso e de subida em busca de pedidos incomuns ao endpoint de carga, procurar arquivos PHP novos ou com nomes suspeitos dentro do diretório de mídia ou na raiz pública, e digitalizar o site com ferramentas de detecção de malware. Se for confirmada uma intrusão, o prudente é pegar o site offline temporariamente, remover as portas traseiras detectadas, restaurar de cópias limpas e rotar credenciais associadas (administradores do WordPress, FTP/SFTP, painel de hospedagem). Também é recomendável rever as permissões do sistema de ficheiros e desactivar a execução do PHP nas pastas de uploads através de configuração do servidor Web (.htaccess, Nginx, etc.).
Para manter-se informado e aprofundar os detalhes técnicos e mitigações, os relatórios públicos mais completos vêm do Wordfence e da página oficial do plugin. O aviso técnico do Wordfence e as regras de firewall estão disponíveis em seu portal ( análise da vulnerabilidade e entrada do blog), enquanto os recursos oficiais do Ninja Forms e a página do plugin no repositório do WordPress fornecem informações sobre versões e downloads ( extensão File Uploads, página do plugin no WordPress.org).
No ecossistema WordPress, estas urgências são um lembrete de que os componentes de terceiros (plugins e extensões) podem se tornar vetores críticos de ataque. Manter os plugins atualizados, aplicar políticas de segurança no servidor e monitorar o tráfego e logs são práticas imprescindíveis para reduzir o risco. Se você gerencia sites para terceiros ou em produção, prioriza atualizações e considera a implementação de uma solução WAF que bloqueie grandes tentativas de exploração enquanto completas as tarefas de remediação.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...