Более 600 тысяч сайтов на базе WordPress оказались под угрозой полного взлома из-за критической уязвимости в плагине Forminator, предназначенном для создания форм обратной связи, платежных форм и других пользовательских форм. Проблема была обнаружена исследователями из компании Wordfence и независимыми экспертами в области кибербезопасности. Уязвимость, получившая идентификатор CVE-2025-6463 и высокий балл 8.8 по шкале CVSS, позволяет злоумышленникам без авторизации удалять произвольные файлы с сервера, что в перспективе может привести к полному захвату управления сайтом.
Проблема затрагивает все версии плагина вплоть до 1.44.2 включительно. Эксплуатация уязвимости связана с недостаточной проверкой файловых путей при обработке удаления данных, отправленных через формы. Злоумышленники могут внедрить вредоносный путь к файлу в отправленную форму, и когда администратор или автоматизированные настройки плагина удаляют эту отправку, указанный файл также стирается с сервера. Особую опасность представляет возможность удаления критически важных файлов, таких как wp-config.php, который отвечает за конфигурацию WordPress. После его удаления система переходит в режим настройки, позволяя злоумышленнику переподключить сайт к своей базе данных и получить над ним полный контроль.
Исследователь Phat RiO - BlueRock выявил уязвимость и сообщил о ней через программу вознаграждений Wordfence Bug Bounty Program, получив рекордную награду в размере $8100. Разработчики плагина, команда WPMU DEV, оперативно отреагировали и выпустили исправленную версию 1.44.3 уже 30 июня 2025 года.
Технический анализ показал, что уязвимость кроется в функции entry_delete_upload_files(), которая не проверяла тип поля или допустимость удаления указанных файлов. Теперь патч ограничивает удаление только теми файлами, которые были загружены через специальные поля "upload" или "signature", а также проверяет, находятся ли файлы в разрешенной директории загрузок WordPress. Дополнительно пути к файлам нормализуются и санируются для предотвращения злонамеренных манипуляций.
Владельцам сайтов настоятельно рекомендуется немедленно обновить Forminator до версии 1.44.3 или выше, проверить журналы отправленных форм на подозрительную активность, а также регулярно создавать резервные копии важных данных. Кроме того, рекомендуется использовать специализированные решения для мониторинга изменений файловой системы, такие как Wordfence, чтобы минимизировать риски.
Эта ситуация в очередной раз подчеркивает важность своевременного обновления плагинов и соблюдения базовых принципов кибербезопасности при управлении WordPress-сайтами. Даже столь популярные и проверенные временем инструменты, как Forminator, могут содержать критические уязвимости, которые становятся легкой добычей для злоумышленников. Эксперты рекомендуют не только следить за обновлениями, но и ограничивать использование ненужных плагинов, а также внедрять многоуровневую защиту, чтобы снизить вероятность успешной атаки.
Если ваш сайт использует Forminator, проверьте его версию прямо сейчас и примите меры, пока уязвимость не была использована против вас. В условиях растущей киберпреступности даже небольшое промедление может оказаться критическим.
