Shells caindo. Payloads PHP aterrissando no webroot como bombardeiros stealth na calada da noite — é o que tá acontecendo em milhares de sites WordPress.
Dá um zoom out. O Ninja Forms, aquele queridinho drag-and-drop que roda formulários em mais de 600 mil instalações, foi pego de calças curtas. O add-on File Uploads? Uma CVE-2026-0740 crítica com nota 9.8/10 CVE-2026-0740 que já tá atraindo bala. O Wordfence contou mais de 3.600 ataques em 24 horas. Pum.
O pulo do gato: sem autenticação. Os atacantes criam um nome de arquivo esperto, driblam as checagens e pronto: arquivos arbitrários subidos. Path traversal? Tem. Execução remota de código? Duas vezes. Seu site vira playground deles.
“A função não inclui checagem de tipo de arquivo ou extensão no nome de destino antes da operação de movimentação na versão vulnerável”, explica o Wordfence. “Isso significa que não só arquivos seguros podem ser enviados, mas também arquivos com extensão .php.”
E piora: sem sanitização, hackers reescrevem caminhos e jogam malware bem no coração do servidor: a raiz. Shells web ativados. Sites sequestrados. Dados sugados. O apocalipse de sempre.
Como os Hackers Descobriram a Fraqueza do Ninja Forms Tão Rápido?
O pesquisador de segurança Sélim Lanouar (o whattheslime) farejou primeiro, jogando na programa de bug bounty do Wordfence em 8 de janeiro. Jogada esperta. Eles validaram, avisaram o vendor no mesmo dia e ativaram regras de firewall pra proteger os clientes.
Vendor corrigiu parcialmente em 10 de fevereiro, totalmente na 3.3.27 em 19 de março. Mas exploits? Já tá pegando fogo. Milhares por dia, diz o Wordfence. Por quê a pressa? Porque o Ninja Forms File Uploads atende 90 mil clientes — alvos suculentos.
Pensa assim: WordPress é o churrasco bagunçado do quintal da internet. Plugins como Ninja Forms trazem as mordidas fáceis — formulários sem código, uploads de arquivo, mágica drag-drop. Mas esquece as trancas no barracão da churrasqueira? Ladrões invadem à meia-noite.
Por Que a CVE-2026-0740 Pega os Usuários de WordPress de Jeito Tão Pesado?
Versões afetadas? Até a 3.3.26. Muita gente preguiçosa com updates. Sem checagem de tipo de arquivo nos nomes de destino — atacantes batizam o veneno de qualquercoisa.php, atravessam diretórios, executam remotamente.
Consequências? Graves. Comprometimento total do servidor. Webshells pra acesso de backdoor. Preparo pra ransomware. Ou pior — pulo pro resto da sua frota de hospedagem.
Minha opinião quente — e a sacada que ninguém tá gritando ainda: isso lembra o escândalo CryptoPHP de 2014, quando um tema WordPress com backdoor infectou 40 mil sites da noite pro dia. Na época, sujeira na cadeia de suprimentos. Hoje? Plugin falha na higiene básica de upload. Previsão: se 10% desses 90 mil ignorarem o patch, a gente vê um worm WordPress no verão, se espalhando automático por hosts compartilhados. Acorda pro evangelho no-code.
Mas ó — Ninja Forms não é um outlier duvidoso. É premium, confiável. Aquele apelo drag-drop? Esconde a real: toda extensão é uma porta do castelo entreaberta. Vendors correm atrás de features; segurança fica pra trás. Usuários que pagam o pato.
O firewall do Wordfence bloqueou o bombardeio, mas nem todo mundo tem. Scanners grátis? Patch agora. Ou joga roleta com o destino do seu site.
Seu Site Tá Vulnerável a Ataques do Ninja Forms?
Checagem rápida: Ninja Forms File Uploads ≤3.3.26? Tá na roda. Atualize pra 3.3.27 já. Audite uploads. Escaneie com Wordfence ou similar.
Exploits são fáceis de automatizar — pentests confirmam que o caminho tá escancarado. Ferramentas BAS podem sinalizar, mas sem blocks em runtime? Torrada.
Além dos patches, repense: isole uploads em dirs separados. Whiteliste extensões no server-side. Porque confiança em plugins? Tá derretendo rápido.
E olha só — WordPress roda 43% da web. Um plugin ruim, milhões em risco. É o vertigo da plataforma: de páginas estáti
