У плагіні Forminator для WordPress виявили вразливість, пов’язану з неавторизованим видаленням довільних файлів, що може призвести до повного захоплення вразливого сайту.

Проблема отримала ідентифікатор CVE-2025-6463 (8,8 бала за шкалою CVSS) і торкається всіх версій Forminator аж до 1.44.2. Баг був виявлений дослідником під ніком Phat RiO – BlueRock, який повідомив про нього у Wordfence 20 червня 2025 року. У результаті фахівець отримав винагороду у розмірі 8100 доларів за виявлення цієї вразливості.

Forminator, створений компанією WPMU DEV, є конструктором для платіжних форм, контактів, зворотного зв’язку, вікторин, опитувань і анкет для сайтів під керуванням WordPress. Плагін використовує просту функціональність drag-and-drop і має широкі можливості для сторонніх інтеграцій.

Згідно зі статистикою WordPress.org, наразі плагін встановлений та активний на 600 000 сайтів.

Виявлена ​​вразливість пов’язана з недостатньою валідацією та очищенням введення, а також небезпечною логікою видалення файлів у коді бекенда плагіна. Так, коли користувач надсилає форму, функція save_entry_fields() зберігає всі значення полів, включаючи шляхи до файлів, не перевіряючи, чи ці поля повинні працювати з файлами.

Зловмисник може скористатися цією поведінкою, щоб впровадити спеціально сформований масив файлу в будь-яке поле (навіть текстове), імітуючи завантажений файл із кастомним шляхом, наприклад, що вказує на критично важливий файл /var/www/html/wp-config.php.

Якщо після цього адміністратор видаляє такий запис вручну (або увімкнене автоматичне видалення старих записів), Forminator зітре цей системний файл WordPress, після чого сайт перейде в режим початкового налаштування і стане вразливим для атак.

З моменту виходу патча плагін був завантажений близько 200 000 разів, проте невідомо, скільки установок, як і раніше, вразливі для CVE-2025-6463.

Всім користувачам Forminator рекомендується якнайшвидше оновити його до останньої версії або деактивувати плагін до моменту встановлення патча.