Se está explotando activamente CVE-2026-0740, un fallo crítico ( CVSS 9.8 ) en el add-on premium Ninja Forms File Uploads para WordPress que permite subir archivos de forma arbitraria sin autenticación. El resultado puede ser ejecución remota de código (RCE) y control total del sitio si se suben scripts maliciosos. La corrección completa está en Ninja Forms File Uploads 3.3.27; las versiones hasta la 3.3.26 están afectadas.El ecosistema de WordPress vuelve a demostrar por qué los componentes de terceros, especialmente los que gestionan entrada de usuarios, son un objetivo prioritario para atacantes. Los formularios con capacidad de adjuntar ficheros son un vector especialmente atractivo: cuando un sitio permite subir documentos, imágenes o cualquier otro archivo, un fallo en la validación puede convertir una función legítima en una puerta de entrada directa al servidor.En este caso, la vulnerabilidad CVE-2026-0740 afecta al add-on premium Ninja Forms File Uploads, una extensión asociada a Ninja Forms que añade campos de subida de archivos a formularios. El problema es crítico porque permite una subida arbitraria de archivos sin autenticación, es decir, un atacante no necesita credenciales para interactuar con el flujo vulnerable. Si la instalación está expuesta y utiliza versiones afectadas, el atacante puede intentar colar un archivo malicioso haciéndolo pasar por un adjunto permitido.El riesgo se dispara porque el fallo no se limita a aceptar ficheros no deseados: abre la posibilidad de cargar scripts PHP y conseguir RCE al ejecutar ese archivo desde el navegador. Además, la debilidad incluye problemas de validación del destino del archivo y de sanitización del nombre, lo que facilita técnicas de path traversal para colocar el fichero en una ruta más peligrosa, potencialmente dentro del webroot. En términos prácticos, esto puede derivar en el despliegue de web shells, la modificación de contenido, la creación de cuentas persistentes o el uso del sitio como plataforma para ataques adicionales.La severidad asignada es CVSS 9.8, coherente con una cadena de ataque que no requiere autenticación y que puede terminar en ejecución de código. La corrección completa está disponible en Ninja Forms File Uploads 3.3.27 (publicada el 19 de marzo), mientras que las versiones hasta la 3.3.26 permanecen expuestas. La actividad observada indica que no es un escenario teórico: se han detectado miles de intentos en un periodo corto, lo que encaja con campañas automatizadas que rastrean internet en busca de sitios vulnerables.La respuesta defensiva debe priorizar la actualización inmediata a 3.3.27 o superior. En paralelo, conviene revisar el servidor en busca de archivos PHP inesperados y artefactos recientes en rutas accesibles desde la web, especialmente en directorios de subidas. Si existen indicios de compromiso, es prudente rotar credenciales y claves asociadas al sitio y comprobar integridad de ficheros. Como mitigación adicional, resulta recomendable reforzar el perímetro con reglas de WAF/Firewall que bloqueen patrones de subida no autorizada y de path traversal, y, cuando sea viable, configurar el servidor para impedir la ejecución de PHP en directorios de subida como uploads. Estas medidas no sustituyen el parche, pero pueden reducir de forma significativa la ventana de exposición en entornos donde la actualización no sea inmediata.Más informaciónBleepingComputer – Hackers exploit critical flaw in Ninja Forms WordPress plugin : https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-flaw-in-ninja-forms-wordpress-plugin/La entrada Explotación activa de CVE-2026-0740 en Ninja Forms File Uploads pone en riesgo miles de WordPress se publicó primero en Una Al Día.