概要

セキュリティ研究者Sélim Lanouar氏によって発見された、Ninja Forms File Uploadプラグインにおける深刻なセキュリティ脆弱性が50,000のWordPressサイトに影響を及ぼしていることが明らかになりました。この脆弱性はCVE-2026-0740として追跡されており、CVSSスコア9.8という最大級の危険度を持っています。

脆弱性の詳細

この脆弱性は、プラグインがアップロードされたファイルの最終的な目的先パスを適切に検証しないことから生じています。これにより、攻撃者は任意のファイルをサーバー上の任意の場所にアップロードすることが可能となります。

影響範囲

この脆弱性は、Ninja Forms File Uploadプラグインを使用している約50,000のWordPressサイトに影響を及ぼしています。これにより、攻撃者はサーバー上の任意のファイルを操作する可能性があります。

対策

Wordfenceは、この脆弱性に対する仮想ファイアウォールパッチを速やかに展開し、プレミアムユーザーに対して防御を強化しました。また、プラグインのベンダーも修正版3.3.27をリリースして完全な対策を行いました。

今後の対応

サイト管理者は、Ninja Forms File Uploadプラグインを使用している場合、直ちにバージョン3.3.27へのアップデートを行うべきです。これにより、脆弱性からの攻撃を防ぐことができます。

元記事: https://gbhackers.com/50000-sites-running-ninja-forms-vulnerable/