کمیته رکن چهارم – یک آسیبپذیری بحرانی در افزونه File Uploads مربوط به Ninja Forms شناسایی شده که امکان اجرای کد از راه دور را فراهم میکند. این نقص هماکنون در حملات واقعی مورد سوءاستفاده قرار میگیرد.
به گزارش کمیته رکن چهارم، این آسیبپذیری با شناسه CVE-2026-0740 و امتیاز ۹.۸، به مهاجمان اجازه میدهد بدون نیاز به احراز هویت فایلهای مخرب را روی سرور بارگذاری کنند. علت اصلی این مشکل، نبود اعتبارسنجی نوع فایل و پاکسازی نام فایل است که امکان بارگذاری اسکریپتهای مخرب و حتی تغییر مسیر ذخیرهسازی فایلها را فراهم میکند.
در صورت بهرهبرداری موفق، مهاجمان میتوانند با بارگذاری فایلهای PHP، دسترسی کامل به سرور پیدا کرده و اقدام به استقرار web shell یا کنترل کامل وبسایت کنند. گزارشها نشان میدهد هزاران تلاش برای سوءاستفاده از این نقص در مدت کوتاهی شناسایی شده است.
این آسیبپذیری در نسخه ۳٫۳٫۲۷ برطرف شده و نسخههای پیشین تا ۳٫۳٫۲۶ در معرض خطر قرار دارند. به کاربران توصیه شده است هرچه سریعتر افزونه خود را به نسخه امن ارتقا دهند.
پیشینه
افزونه Ninja Forms یکی از ابزارهای پرکاربرد ساخت فرم در وردپرس است که توسط صدها هزار وبسایت استفاده میشود. آسیبپذیری در افزونههای جانبی چنین ابزارهایی میتواند بهسرعت به تهدیدی گسترده برای زیرساختهای وب تبدیل شود.
منبع: BleepingComputer
