Die Sicherheitslücke CVE-2026-0740 im Ninja Forms File Upload Plugin stellt eine ernsthafte Bedrohung für tausende WordPress-Websites dar. Mit einer Kritikalitätsbewertung von 9,8 von 10 Punkten gehört sie zu den gefährlichsten Schwachstellen im WordPress-Ökosystem.
Die technische Ursache liegt in einer unzureichenden Validierung von Dateitypen und -erweiterungen. Wie Wordfence-Forscher erklären, führt das vulnerable Plugin keine Überprüfung durch, bevor Dateien in das Webroot-Verzeichnis verschoben werden. Dies ermöglicht es Angreifern nicht nur, beliebige Dateien hochzuladen, sondern auch PHP-Skripte einzuschleusen. Durch fehlende Dateinamen-Sanitisierung können Angreifer zudem Path-Traversal-Techniken einsetzen, um Dateien an beliebige Speicherorte zu verschieben.
Besonders bemerkenswert ist, dass keine Authentifizierung erforderlich ist. Ein unauthentifizierter Angreifer kann somit PHP-Code hochladen und direkt ausführen, was zu Remote Code Execution (RCE) führt. Die praktischen Folgen sind verheerend: Angreifer können Web-Shells installieren und vollständige Kontrolle über die Website übernehmen.
Die Sicherheitslücke wurde von Forscher Sélim Lanouar (whattheslime) entdeckt und am 8. Januar über Wordfence’ Bug-Bounty-Programm gemeldet. Nach Validierung wurde der Hersteller noch am selben Tag informiert. Wordfence konnte sofort temporäre Sicherheitsregeln für Firewall-Kunden bereitstellen. Ein erster Patch folgte am 10. Februar, die komplette Lösung wurde mit Version 3.3.27 am 19. März veröffentlicht.
Da Wordfence täglich tausende Angriffsversuche registriert, sollten Nutzer sofort handeln. Website-Betreiber, die Ninja Forms File Upload nutzen, müssen dringend auf Version 3.3.27 oder aktueller upgraden. Die hohe Zahl von Angriffsversuchen deutet darauf hin, dass viele Websites noch verwundbar sind. Für Unternehmen, die WordPress-Websites betreiben, ist ein rascher Update sowie eine Überprüfung auf erfolgreiche Intrusions-Versuche dringend empfohlen.