50,000 WordPress Sites Running Ninja Forms Vulnerable to Critical File Upload RCE
2026/04/07 gbhackers — WordPress アドオン Ninja Forms File Upload プラグインにおいて、深刻なセキュリティ脆弱性 CVE-2026-0740 (CVSS 9.8) が発見された。この広く利用されるプラグインは、訪問者からのファイル (文書/画像/メディア) を、Web サイト管理者が受け取れるようにするものであるが、認証を必要とせずに任意のファイル・アップロードを許す脆弱性が存在する。
現在、このエクステンションを利用する WordPress サイトは、推定で 50,000 件に上るため、Web サーバを侵害しようとするサイバー犯罪者に対して、脆弱性 CVE-2026-0740 は広範な攻撃対象領域を提供するものとなる。
この脆弱性はセキュリティ研究者 Selim Lanouar により発見され、2026年1月8日に Wordfence Bug Bounty Program を通じて責任ある開示が行われた。この脅威の報告を受けた Wordfence は、Lanouar に $2,145 の報奨金を授与した。この発見が浮き彫りにするのは、脅威アクターによる大規模な自動化攻撃キャンペーンが開始される前に、悪用が容易な脆弱性を特定する上で、独立系のセキュリティ調査が不可欠なことである。
エクスプロイトの技術的詳細
この脆弱性の技術分析により、プラグインにおける入力データの検証処理に、重大な不備が存在することが判明した。この問題は、プラグインの AJAX コントローラ・クラス内でアップロード処理を実行するコードに起因する。プラグインの開発者は、オリジナルのソース・ファイル名に対するファイル・タイプ検証は実装していたが、ファイルをサーバへ保存する直前のディスティネーション・ファイル名に対する拡張子検証を行っていなかった。
この最終的な保存ファイル名に対するサニタイズ処理の不備により、攻撃者は意図されたセキュリティ・フィルタを完全に回避できる。この欠陥を突く未認証の訪問者は、悪意の PHP スクリプトなどの実行型のファイルをアップロードできる。さらに、厳格なパス・サニタイズが実装されていないため、攻撃者はパス・トラバーサル攻撃も実行できる。
アップロード・リクエストを操作する攻撃者は、隔離されたアップロード・ディレクトリを完全に回避し、Web サイトのルート・ディレクトリに悪意のペイロードを保存できる。アクセス可能な場所に悪意の PHP スクリプトを保存した攻撃者は、その URL にブラウザでアクセスするだけで実行をトリガーできる。この一連の動作により、攻撃者はリモート・コード実行 (RCE) 能力を獲得し、ホスティング環境に対する完全な管理権限を実質的に掌握する。
この状態を成立させた攻撃者は、永続的な Web シェルの設置/データベース・クレデンシャルの窃取/SEO スパムの挿入/ランサムウェアの展開およびネットワーク全体への拡散などを可能にする。
2026年1月の初期情報の開示後に、Wordfence はプレミアム・ユーザー向けに仮想ファイアウォール・パッチを迅速に展開し、エクスプロイト試行を事前に遮断した。
Ninja プラグインのベンダーは、2026年2月10日にバージョン 3.3.25 で部分的修正をリリースした。続いて、継続的なパッチ適用プロセスを経て、2026年3月19日にリリースしたバージョン 3.3.27 で完全な修正を提供している。
Ninja Forms File Upload エクステンションのバージョン 3.3.26 以下を使用している Web サイト管理者は、差し迫った侵害からインフラを保護するために、バージョン 3.3.27 へ直ちにアップグレードする必要がある。
訳者後書:この脆弱性 CVE-2026-0740 は、プログラムがファイルを受け取る際の検証漏れに起因するものです。オリジナルのファイル名に対するチェックは行われていましたが、実際にサーバへ保存する際のファイル名や保存場所 (パス) の検証が十分ではありませんでした。この欠陥を突く攻撃者は、本来は許可されていない PHP などの実行ファイルのアップロードや、保存先の書き換えなどが可能になってしまいます。ご利用のチームは、ご注意ください。よろしければ、WordPress での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.