Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Subida arbitraria de archivos en plugin Ninja Forms de WordPress

Fecha de publicación 08/04/2026
Identificador
INCIBE-2026-266
Importancia
5 - Crítica
Recursos Afectados
  • Plugin Ninja Forms, versión 3.3.26 y anteriores.
Descripción

El plugin Ninja Forms de WordPress tiene una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir la ejecución de código en remoto por parte de atacantes no autenticados.

Solución

Actualizar a la versión 3.3.27.

Detalle

CVE-2026-0740: el plugin Ninja Forms para WordPress tiene una vulnerabilidad de subida de archivos arbitrarios, debido a que en la función 'NF_FU_AJAX_Controllers_Uploads::handle_upload' no se valida el tipo de fichero. Esto permite a atacantes no autenticados subir ficheros arbitrarios en el servidor del sitio afectado, lo que puede derivar en una ejecución de código en remoto.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-0740 Crítica si SaturdayDrive
Listado de referencias
Wordfence - Ninja Forms - File Upload <= 3.3.26 - Unauthenticated Arbitrary File Upload
Wordfence - 50,000 WordPress Sites affected by Arbitrary File Upload Vulnerability in Ninja Forms – File Upload WordPress Plugin
Etiquetas