Ошибка плагина Forminator делает сайты WordPress уязвимыми для атак
Плагин Forminator для WordPress уязвим к ошибке неавторизованного произвольного удаления файлов, которая может привести к атакам с целью полного захвата сайта.
Уязвимость имеет идентификатор CVE-2025-6463 и имеет высокий уровень серьёзности (рейтинг CVSS 8,8). Она затрагивает все версии Forminator до версии 1.44.2.
Forminator Forms — плагин, разработанный WPMU DEV. Он предлагает гибкий визуальный конструктор с функцией перетаскивания, помогающий пользователям создавать и встраивать широкий спектр контента на основе форм на сайты WordPress.
По статистике WordPress.org , плагин в настоящее время активен на более чем 600 000 веб-сайтов.
Уязвимость возникает из-за недостаточной проверки и очистки вводимых в поля формы данных, а также небезопасной логики удаления файлов в бэкэнд-коде плагина.
Когда пользователь отправляет форму, функция save_entry_fields() сохраняет все значения полей, включая пути к файлам, не проверяя, предназначены ли эти поля для обработки файлов.
Злоумышленник может воспользоваться этим поведением, чтобы вставить созданный массив файлов в любое поле, включая текстовые поля, имитируя загруженный файл с пользовательским путем, указывающим на критически важный файл, например, «/var/www/html/wp-config.php».
Когда администратор удаляет его или когда плагин автоматически удаляет старые отправки (согласно настройкам), Forminator стирает основной файл WordPress, заставляя веб-сайт перейти на стадию «настройки», где он уязвим для захвата.
«Удаление wp-config.php приводит сайт в состояние настройки, что позволяет злоумышленнику инициировать захват сайта, подключив его к базе данных, находящейся под его контролем», — объясняет Wordfence .
Обнаружение и исправление
Уязвимость CVE-20256463 была обнаружена исследователем безопасности Phat RiO – BlueRock, который сообщил об этом в Wordfence 20 июня и получил вознаграждение за устранение ошибки в размере 8100 долларов США.
После внутренней проверки эксплойта 23 июня компания Wordfence связалась с WPMU DEV, которая подтвердила получение отчета и начала работу над исправлением.
30 июня поставщик выпустил версию Forminator 1.44.3, в которой добавлена проверка типа поля и пути к файлу, что гарантирует ограничение удаления только каталогом загрузок WordPress.
С момента выпуска патча было совершено 200 000 загрузок, но неясно, сколько из них в настоящее время уязвимы для эксплуатации CVE-2025-6463.
Если вы используете Forminator для своего сайта, рекомендуется обновить его до последней версии или отключить плагин, пока вы не сможете перейти на безопасную версию.
На данный момент нет сообщений об активной эксплуатации CVE-2025-6463, но публичное раскрытие технических подробностей в сочетании с простотой эксплуатации может привести к тому, что злоумышленники быстро начнут исследовать ее потенциал для атак.
About The Author
