Das betroffene Addon stellt die Funktion bereit, über die sich in Ninja-Forms-Formularen Dateien hochladen lassen. Die Schwachstelle steckt nach Darstellung von Defiant in genau der Funktion, die eine hochgeladene Datei im Upload-Verzeichnis speichert.

Der dort durchgeführte Abgleich des Dateityps reicht nicht aus: Der Zieldateiname wird nicht geprüft, bevor die Datei in das Upload-Verzeichnis verschoben wird. Dadurch lassen sich auch Dateien mit der Endung .php hochladen. Da zudem keine Bereinigung des Dateinamens stattfindet, ermöglicht der manipulierte Parameter laut Defiant auch einen Path-Traversal-Angriff, sodass die Datei sogar in das Webroot-Verzeichnis verschoben werden kann.

Auf dieser Grundlage kann ein nicht angemeldeter Angreifer eigenen PHP-Code auf den Server bringen und ihn anschließend ausführen. Defiant zufolge eröffnet das den Weg zu Web-Shells und damit zur kompletten Übernahme der angegriffenen Website.

CVE-2026-0740 wurde laut Defiant über das Bug-Bounty-Programm von Wordfence gemeldet. Der Sicherheitsforscher Sélim Lanouar meldete die Lücke in diesem Monat und erhielt dafür eine Prämie von 2.145 US-Dollar.

Betroffen sind alle vorhergehenden Versionen des Addons. Anwendern wird empfohlen, umgehend auf Ninja Forms – File Uploads in der Version 3.3.27 zu aktualisieren.