WordPress 的 Ninja Forms 文件上傳高級外掛程式存在一個嚴重漏洞，允許在未經身份驗證的情況下上傳任意文件，這可能導致遠端程式碼執行。此漏洞編號為 CVE-2026-0740，目前已被攻擊者利用。據 WordPress 安全公司 Defiant 稱，其 Wordfence 防火牆在過去 24 小時內攔截了超過3600 次攻擊。

Ninja Forms 是一款廣受歡迎的 WordPress 表單建立器，下載量超過60 萬次，使用者可以透過拖放介面輕鬆建立表單，無需編寫程式碼。其配套的 File Upload 擴充功能擁有9 萬用戶。

CVE-2026-0740 漏洞的嚴重性評級為 9.8（滿分為 10 分），影響 Ninja Forms 檔案上傳版本最高至 3.3.26。據 Wordfence 研究人員稱，該漏洞是由於目標檔案名稱缺乏檔案類型/副檔名驗證造成的，這使得未經身份驗證的攻擊者可以上傳任意檔案（包括 PHP 腳本），還可以篡改檔案名稱以實現路徑遍歷。

該漏洞由安全研究員 Sélim Lanouar (whattheslime) 發現，他於 1 月 8 日提交給了 Wordfence 的漏洞賞金計畫。驗證完成後，Wordfence 當天就向供應商披露了全部細節，並透過防火牆規則向其客戶推送了臨時緩解措施。

在 2 月 10 日進行補丁審查並進行部分修復後，供應商在 3.3.27 版本中發布了完整的修復程序，自 3 月 19 日起可用。鑑於 Wordfence 每天偵測到數千次攻擊嘗試，強烈建議 Ninja Forms 檔案上傳使用者優先升級到最新版本。

資料來源：https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-flaw-in-ninja-forms-wordpress-plugin/