Lỗ hổng nghiêm trọng trong plugin Ninja Forms đe dọa 50.000 website WordPress

[WhiteHat Team]

Ninja Forms là một trong những plugin phổ biến trên WordPress, cho phép quản trị viên tạo các form trực tuyến linh hoạt mà không cần lập trình. Từ form liên hệ, đăng ký sự kiện đến thu thập dữ liệu hay upload file, plugin này hiện đang được sử dụng trên hàng chục nghìn website toàn cầu, nhờ tính năng kéo-thả dễ sử dụng và khả năng tùy biến cao. Tuy nhiên, chính tính năng File Upload lại trở thành điểm yếu nghiêm trọng khi lỗ hổng bảo mật vừa được phát hiện.
​

Lỗ hổng mang mã CVE-2026-0740, với CVSS 9.8, cho phép kẻ tấn công tải lên file độc hại và thực thi mã từ xa mà không cần đăng nhập. Ước tính khoảng 50.000 website WordPress đang sử dụng plugin này có nguy cơ bị khai thác nếu không được vá kịp thời.

Theo phân tích kỹ thuật, lỗ hổng trong hàm handle_upload của Ninja Forms - File Upload khiến plugin bỏ qua kiểm tra tên file đích, tạo cơ hội cho tin tặc chèn .php hoặc khai thác path traversal. Nhờ đó, tin tặc có thể đưa file độc hại vào webroot và thực thi mã từ xa, ngay cả khi file nguồn ban đầu có vẻ an toàn.

Khi khai thác thành công, tin tặc không chỉ có thể cài Web Shell hay thay đổi nội dung trang, mà còn chèn liên kết độc hại hoặc sử dụng website làm bàn đạp để tấn công các hệ thống khác, dẫn tới nguy cơ chiếm quyền kiểm soát toàn bộ website.

Đáng chú ý, CVE-2026-0740 chỉ mới được vá một phần trong phiên bản 3.3.25 và vẫn tồn tại cho đến trước khi bản vá đầy đủ ra mắt. Ngay cả những quản trị viên vừa cập nhật gần đây cũng không nên chủ quan, bởi tất cả các phiên bản từ 3.3.26 trở xuống đều có nguy cơ.

Trước mức độ rủi ro của lỗ hổng, các quản trị viên nên ngay lập tức cập nhật Ninja Forms - File Upload lên phiên bản 3.3.27 hoặc cao hơn. Đồng thời, cần rà soát nhật ký máy chủ, kiểm tra các tệp lạ trong webroot và tăng cường các lớp bảo mật phía server để ngăn chặn mọi hành vi thực thi mã bất thường từ các nguồn không xác định.
​

Theo Security Online​