En bref

  • Une vulnérabilité critique (CVE-2026-0740, CVSS 9.8) dans l'extension Ninja Forms File Uploads pour WordPress permet l'exécution de code à distance sans authentification.
  • Plus de 3 600 attaques bloquées en 24 heures selon Wordfence — l'exploitation est active.
  • Les 90 000 sites utilisant cette extension doivent mettre à jour immédiatement vers la version 3.3.27 ou supérieure.

Ce qui s'est passé

Une faille critique a été découverte dans l'extension premium Ninja Forms File Uploads pour WordPress. Référencée CVE-2026-0740 avec un score CVSS de 9.8, cette vulnérabilité permet à un attaquant non authentifié de téléverser des fichiers arbitraires sur le serveur, y compris des scripts PHP malveillants, ouvrant la porte à une exécution de code à distance (RCE).

Le problème réside dans l'absence de validation des types de fichiers et des extensions sur le nom de fichier de destination. Un attaquant peut ainsi contourner toute restriction et déposer un webshell ou tout autre payload sur le serveur cible. Selon Defiant, l'éditeur du pare-feu applicatif Wordfence, plus de 3 600 tentatives d'exploitation ont été bloquées au cours des dernières 24 heures.

Ninja Forms est un constructeur de formulaires populaire avec plus de 600 000 téléchargements, et son extension File Uploads est utilisée par environ 90 000 clients. Les versions affectées vont jusqu'à la 3.3.26 incluse. Un correctif est disponible dans la version 3.3.27.

Pourquoi c'est important

WordPress propulse plus de 40 % du web mondial, et les extensions de formulaires avec upload de fichiers sont parmi les vecteurs d'attaque les plus exploités. Une faille RCE non authentifiée sur ce type de composant est un scénario catastrophe : l'attaquant n'a besoin d'aucun compte pour compromettre entièrement le serveur.

Pour les entreprises et agences web gérant des sites WordPress, cette vulnérabilité illustre l'importance d'un processus de patch management rigoureux pour les extensions, et pas seulement pour le cœur de WordPress. Les extensions premium, souvent mises à jour manuellement, sont particulièrement à risque car elles échappent aux mécanismes de mise à jour automatique.

Ce qu'il faut retenir

  • Mettre à jour Ninja Forms File Uploads vers la version 3.3.27 ou supérieure immédiatement.
  • Vérifier les logs serveur pour détecter des téléversements suspects de fichiers PHP dans les répertoires d'upload WordPress.
  • Déployer un WAF (Web Application Firewall) comme Wordfence ou Sucuri pour bloquer les tentatives d'exploitation zero-day.

Comment vérifier si mon site WordPress a été compromis via cette faille ?

Recherchez des fichiers PHP récemment créés dans vos répertoires wp-content/uploads/ et les dossiers temporaires. Vérifiez les logs d'accès pour des requêtes POST suspectes ciblant les endpoints de Ninja Forms. En cas de doute, scannez votre site avec un outil comme Wordfence CLI ou effectuez un audit complet des fichiers modifiés récemment.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Articles connexes :

Prendre contact