Nieuws
image

WordPress-sites actief aangevallen via lek in Ninja Forms - File Uploads plug-in

woensdag 8 april 2026, 12:30 door Redactie, 4 reacties

WordPress-sites worden actief aangevallen via een kritieke kwetsbaarheid in de plug-in Ninja Forms - File Uploads, zo meldt securitybedrijf Wordfence. Dat maakte op 6 april details over het probleem bekend. Niet veel later rapporteerde het securitybedrijf actief misbruik. Zo detecteerde Wordfence naar eigen zeggen de afgelopen 24 uur bijna negenhonderd aanvallen waarbij werd geprobeerd om WordPress-sites via het lek in de plug-in te compromitteren.

Via Ninja Forms kunnen WordPress-beheerders allerlei soorten formulieren voor hun website ontwikkelen. De plug-in is op meer dan 600.000 websites actief, aldus cijfers van WordPress.org. Ninja Forms - File Upload is een betaalde uitbreiding voor Ninja Forms waarmee WordPress-sites een uploadveld aan hun formulieren kunnen toevoegen. Gebruikers van de websites kunnen zo via de formulieren allerlei soorten bestanden uploaden, bijvoorbeeld foto's of documenten gebruikt voor cv's. De File Uploads plug-in is op meer dan 50.000 WordPress-sites actief.

Een ontbrekende 'file type validation' in de uploadfunctie zorgt ervoor dat er allerlei soorten bestandstypes naar de onderliggende webserver kunnen worden geupload, waaronder .php-bestanden. Omdat er geen 'filename sanitization' wordt toegepast is ook path traversal mogelijk, waardoor bestanden in de webroot directory zijn te plaatsen. Dit maakt het uploaden van malafide PHP-code mogelijk en daarmee remote code execution op de server. De kwetsbaarheid is volledig verholpen in versie 3.3.27 die op 16 maart uitkwam. Hoeveel websites inmiddels up-to-date zijn is onbekend.

Reacties (4)
Reageer met quote
08-04-2026, 13:03 door Anoniem
Wordpress sites ze blijven kennelijk
een geliefd aanvals platform om aan te vallen,
er is al veel over geschreven.
Reageer met quote
08-04-2026, 14:02 door Anoniem
Door Anoniem: Wordpress sites ze blijven kennelijk
een geliefd aanvals platform om aan te vallen,
er is al veel over geschreven.
En elke keer maken veel reageerders dezelfde stemmingsmakerij fout, het gaat om de plug-inns zelden of nooit om Wordpress zelf.
Hetzelfde als een app die fout is en dan de Andoid telefoon afzeiken.
Reageer met quote
08-04-2026, 18:37 door linuxpro
Ben er klaar mee, ik ben inmiddels druk bezig de hele Wordpress zooi offline te gooien en te migreren naar Ghost CMS. Werkt (gelukkig) heel anders maar voor de auteurs prima te doen de overstap. Alleen wat functionaliteit erbij hangen en dan komt t helemaal goed. De eerste bloggers zijn al over.

En ja, ik weet het "argument" het ligt niet aan Wordpress maar aan de plugins maar zelfs betaalde plugins of plugins van grotere softwareontwikkelaars zijn zo vaak lek of kwetsbaar voor stomme dingen als path traversal en code injection dat ik er helemaal klaar mee ben.
Reageer met quote
Gisteren, 10:04 door Anoniem
Sac hier: https://hackertarget.com/wordpress-security-scan/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components