Plugin Forminator pro WordPress je zranitelný vůči neautentizované libovolné chybě smazání souboru, která by mohla umožnit úplné převzetí stránek. Bezpečnostní problém je sledován jako CVE-2025-6463 a má vysoký stupeň závažnosti (CVSS skóre 8,8). Týká se všech verzí Forminator až do 1.44.2.

Forminator Forms je plugin vyvinutý společností WPMU DEV. Nabízí flexibilní, vizuální nástroj pro tvorbu a vkládání široké škály obsahu založeného na formulářích na WordPress stránky. Podle statistik z WordPress.org je plugin aktuálně aktivní na více než 600 000 webových stránkách.

Zranitelnost vychází z nedostatečné validace a sanace vstupních polí formuláře a nebezpečné logiky mazání souborů v backendovém kódu pluginu. Když uživatel odešle formulář, funkce ‘save_entry_fields()’ uloží všechny hodnoty polí, včetně cest k souborům, aniž by ověřila, zda tato pole mají vůbec soubory zpracovávat.

Útočník by mohl zneužít toto chování k vložení vytvořeného pole souborů do jakéhokoliv pole, včetně textových polí, které by se tvářilo jako nahraný soubor s vlastní cestou, která ukazuje na kritický soubor, jako například ‘/var/www/html/wp-config.php’. Když administrátor tento soubor smaže, nebo když plugin automaticky smaže staré odeslané formuláře (jak je nastaveno), Forminator smaže klíčový soubor WordPressu, čímž přinutí web vstoupit do „nastavovacího” stavu, kdy je zranitelný vůči převzetí.

„Smazání wp-config.php přinutí web ke vstupu do nastavení, což útočníkovi umožní zahájit převzetí webu připojením k databázi pod jeho kontrolou,“ vysvětluje Wordfence.

CVE-2025-6463 objevil bezpečnostní expert „Phat RiO – BlueRock“, který ji nahlásil Wordfence dne 20. června 2025 a obdržel odměnu ve výši 8 100 USD. Po interní validaci exploitu Wordfence kontaktoval WPMU DEV dne 23. června, který potvrdil zprávu a začal pracovat na opravě.

Zdroj: BleepingComputer