В плагине Forminator для WordPress была
Ссылка скрыта от гостей
уязвимость, которая может позволить злоумышленникам удалять произвольные файлы на сайте, что в свою очередь может привести к полному захвату сайта. Уязвимость получила идентификатор CVE-2025-6463 (с оценкой 8,8 по шкале CVSS) и затрагивает все версии плагина до 1.44.2. Проблема была выявлена исследователем с ником Phat RiO - BlueRock, который сообщил об уязвимости 20 июня 2025 года в компанию Wordfence. За его помощь в выявлении бага исследователь получил вознаграждение в размере 8100 долларов.Forminator — это плагин для WordPress, который используется для создания форм оплаты, обратной связи, анкет и опросов. Он поддерживает функционал drag-and-drop и предлагает множество интеграций с другими сервисами. На сегодняшний день плагин установлен более чем на 600 000 сайтов, согласно статистике WordPress.org.
Уязвимость возникла из-за недостаточной проверки ввода и небезопасной логики удаления файлов в бэкэнде плагина. В частности, при отправке формы функция
save_entry_fields() сохраняет все поля, включая пути к файлам, без должной валидации. Это позволяет злоумышленнику внедрить специально подготовленный файл в поле формы, даже если оно текстовое, и указать путь к важному системному файлу, например, wp-config.php.Если администратор удалит такую запись, плагин может случайно стереть критический файл, что приведет сайт в состояние начальной настройки и сделает его уязвимым для атак. Специалисты Wordfence объясняют, что удаление файла wp-config.php может позволить злоумышленнику подключить сайт к базе данных под своим контролем, захватив его.
Разработчики плагина выпустили патч 30 июня, который исправил проблему. В версии 1.44.3 добавлена проверка типов полей и путей к файлам, что ограничивает удаление только директорией загрузок WordPress. С момента выхода исправления плагин был загружен около 200 000 раз, однако до сих пор неясно, сколько сайтов остаются уязвимыми.
Пользователям Forminator настоятельно рекомендуется обновить плагин до последней версии или временно деактивировать его до установки исправления.
