9,8 sobre 10: los propietarios de sitios web deben actualizar de inmediato un plugin popular
Vulnerabilidad crítica en el plugin Ninja Forms permite a hackers tomar el control de sitios WordPress
Un popular módulo para sitios en WordPress abrió inesperadamente a los atacantes un acceso directo al servidor. La vulnerabilidad permite subir cualquier archivo sin verificación y ya se está utilizando activamente en ataques.
El problema se encontró en la extensión Ninja Forms File Uploads. El fallo afecta a todas las versiones hasta la 3.3.26 inclusive. La causa es que en el gestor de carga de archivos no existe una comprobación del tipo de archivo. Como resultado, cualquiera puede enviar al servidor un archivo malicioso sin pasar por la autorización. Esta posibilidad abre la puerta a la ejecución de código arbitrario en el sitio. De hecho, el atacante puede subir un script y ejecutarlo, obteniendo control sobre el recurso.
A la vulnerabilidad se le asignó el identificador CVE-2026-0740 (puntuación CVSS: 9.8). Según Wordfence, en las últimas 24 horas se registraron más de 26 000 intentos de explotación del fallo. La actividad indica que los atacantes empezaron a explotar el problema con rapidez. Los desarrolladores cerraron parcialmente la vulnerabilidad en la versión 3.3.25, pero la corrección completa apareció solo en la versión 3.3.27. Se recomienda a los propietarios de sitios que actualicen el módulo a la versión actual lo antes posible.