Nunca antes fue tan fácil hackear sitios: un plugin popular dejó sin protección a miles de páginas web
Una herramienta de trabajo habitual se convirtió de pronto en la aliada de los hackers.
Un complemento popular para WordPress resultó inesperadamente el eslabón débil para miles de sitios en todo el mundo. Según Wordfence, un error en el módulo de cargas de archivos de Ninja Forms abrió a los atacantes un acceso directo a los servidores, y la magnitud del problema ya se estima en decenas de miles de recursos.
La vulnerabilidad recibió el identificador CVE-2026-0740 y la puntuación máxima en la escala CVSS: 9,8 puntos. Se trata de la posibilidad de subir archivos arbitrarios sin autenticación. Basta con enviar un archivo especialmente preparado, sin disponer de cuenta ni contraseña. El fallo fue descubierto por el especialista Selim Lanouar, quien recibió una recompensa por el hallazgo.
El problema reside en el funcionamiento del complemento Ninja Forms — File Upload, que se encarga de recibir archivos de usuarios. Al procesar los datos, el complemento comprueba el tipo del archivo original, pero omite un punto crítico: no controla la extensión del nombre al guardar en el servidor. Al mismo tiempo falta una limpieza correcta del nombre del archivo. Esta combinación permite al atacante suplantar la ruta de guardado y eludir las restricciones.
El ataque permite subir un script PHP malicioso directamente al directorio raíz del sitio. Tras ejecutar ese archivo, el atacante obtiene acceso remoto para ejecutar comandos en el servidor. A partir de ahí el escenario avanza rápidamente: robo de la base de datos, inyección de código malicioso en las páginas, redirección de visitantes a recursos externos o uso del servidor para nuevos ataques.
El problema afecta a todas las versiones del complemento hasta la 3.3.26 inclusive. La empresa Wordfence primero añadió una protección a nivel de su cortafuegos para usuarios de pago en enero de 2026, y luego la extendió también a la audiencia gratuita en febrero. Los desarrolladores de Ninja Forms publicaron una corrección parcial en la versión 3.3.25 y cerraron definitivamente la vulnerabilidad en la versión 3.3.27 en marzo.
Los sitios que aún usan versiones obsoletas del complemento siguen siendo un objetivo fácil para los escáneres automatizados. Dada la facilidad de explotación y la ausencia de necesidad de autenticación, los ataques pueden producirse de forma masiva y prácticamente sin preparación.