В плагине Forminator для WordPress обнаружили уязвимость, связанную с неавторизованным удалением произвольных файлов, что может привести к полному захвату уязвимого сайта.
Проблема получила идентификатор CVE-2025-6463 (8,8 балла по шкале CVSS) и затрагивает все версии Forminator вплоть до 1.44.2. Баг был обнаружен исследователем под ником Phat RiO - BlueRock, который сообщил о нем в Wordfence 20 июня 2025 года. В итоге специалист получил вознаграждение в размере 8100 долларов за обнаружение этой уязвимости.
Forminator, созданный компанией WPMU DEV, представляет собой конструктор для платежных форм, контактов, обратной связи, викторин, опросов и анкет для сайтов под управлением WordPress. Плагин использует простую функциональность drag-and-drop и обладает широкими возможностями для сторонних интеграций.
Согласно статистике WordPress.org, в настоящее время плагин установлен и активен на 600 000 сайтов.
Обнаруженная уязвимость связана с недостаточной валидацией и очисткой ввода, а также небезопасной логикой удаления файлов в коде бэкэнда плагина. Так, когда пользователь отправляет форму, функция save_entry_fields() сохраняет все значения полей, включая пути к файлам, не проверяя, должны ли эти поля работать с файлами.
Злоумышленник может воспользоваться этим поведением, чтобы внедрить специально сформированный массив файла в любое поле (даже текстовое), имитируя загруженный файл с кастомным путем, например, указывающим на критически важный файл /var/www/html/wp-config.php.
Если после этого администратор удалит такую запись вручную (или включено автоматическое удаление старых записей), Forminator сотрет этот системный файл WordPress, после чего сайт перейдет в режим первоначальной настройки и станет уязвим для атак.
«Удаление wp-config.php переводит сайт в состояние настройки, что позволяет злоумышленнику инициировать захват сайта, подключив его к БД под своим контролем», — объясняют специалисты Wordfence.
30 июня разработчики плагина выпустили исправленную версию 1.44.3, в которой добавили проверку типа поля и пути к файлу. Это гарантирует, что удаления будут ограничены только директорией загрузок WordPress.
С момента выхода патча плагин был загружен около 200 000 раз, однако неизвестно, какое количество установок по-прежнему уязвимы для CVE-2025-6463.
Всем пользователям Forminator рекомендуется как можно скорее обновить его до последней версии или деактивировать плагин до момента установки патча.
