Eine hochkritische Sicherheitslücke im beliebten WordPress-Plugin Forminator gefährdet über 600.000 aktive Installationen weltweit. Die Schwachstelle mit der Kennung CVE-2025-6463 erhielt einen CVSS-Score von 8.8 und ermöglicht Angreifern die vollständige Übernahme betroffener Websites durch das gezielte Löschen kritischer Systemdateien.
Technische Details der CVE-2025-6463 Schwachstelle
Die Sicherheitslücke wurde vom Cybersecurity-Forscher Phat RiO – BlueRock entdeckt und am 20. Juni 2025 an das Wordfence-Team gemeldet. Für diese bedeutende Entdeckung erhielt der Forscher eine Belohnung von 8.100 US-Dollar, was die Schwere der Vulnerability unterstreicht.
Der Kern des Problems liegt in der unzureichenden Validierung von Benutzereingaben und unsicherer Dateiverarbeitungslogik im Backend-Code des Plugins. Die Funktion save_entry_fields() speichert alle Formularfeldwerte, einschließlich Dateipfade, ohne entsprechende Überprüfung des Feldtyps oder Validierung der Dateipfade.
Angriffsvektoren und Exploitierungsmethoden
Die Ausnutzung dieser Sicherheitslücke erfolgt in einem zweistufigen Prozess, der besonders tückisch ist, da er keine direkten Administratorrechte erfordert. Im ersten Schritt injiziert der Angreifer ein speziell konstruiertes Datenarray in beliebige Formularfelder, einschließlich einfacher Textfelder.
Dabei kann der Angreifer eine hochgeladene Datei mit einem beliebigen Pfad simulieren, beispielsweise zu der kritischen Systemdatei /var/www/html/wp-config.php. Im zweiten Schritt wird die Schwachstelle ausgelöst, wenn ein Administrator den entsprechenden Eintrag manuell löscht oder die automatische Bereinigung alter Einträge aktiviert wird.
Katastrophale Auswirkungen auf WordPress-Installationen
Die Löschung der wp-config.php-Datei hat verheerende Konsequenzen für die Sicherheit einer WordPress-Installation. Wie Wordfence-Experten erklären: „Das Entfernen der wp-config.php versetzt die Website in den Setup-Modus, wodurch Angreifer eine vollständige Site-Übernahme initiieren können, indem sie diese mit einer von ihnen kontrollierten Datenbank verbinden“.
Dieser Angriffsszenario gewährt Cyberkriminellen vollständigen Zugriff auf die Website, einschließlich der Möglichkeit, auf Benutzerdaten zuzugreifen, Malware zu installieren und die kompromittierte Ressource für weitere Angriffe zu nutzen.
Über das betroffene Forminator Plugin
Forminator, entwickelt von WPMU DEV, ist ein weit verbreiteter Form-Builder für WordPress-Websites. Das Plugin bietet umfassende Funktionalitäten zur Erstellung von Zahlungsformularen, Kontaktformularen, Umfragen, Quizzes und Fragebögen mit einer benutzerfreundlichen Drag-and-Drop-Oberfläche.
Laut offiziellen WordPress.org-Statistiken ist das Plugin auf über 600.000 Websites installiert und aktiv, was diese Schwachstelle zu einer erheblichen Bedrohung für das gesamte WordPress-Ökosystem macht.
Sicherheitsupdate und Gegenmaßnahmen
Die Entwickler reagierten schnell auf die Meldung der Sicherheitslücke. Am 30. Juni wurde die korrigierte Version 1.44.3 veröffentlicht, die zusätzliche Feldtyp-Überprüfungen und Dateipfad-Validierung implementiert. Das Update stellt sicher, dass Löschvorgänge ausschließlich auf das WordPress-Upload-Verzeichnis beschränkt bleiben.
Seit der Veröffentlichung des Patches wurde das Plugin etwa 200.000 Mal heruntergeladen, jedoch bleibt die genaue Anzahl der noch verwundbaren Installationen unbekannt. Die Schwachstelle betrifft alle Forminator-Versionen bis einschließlich 1.44.2.
Sofortige Schutzmaßnahmen für Website-Betreiber
WordPress-Administratoren, die das Forminator-Plugin verwenden, sollten umgehend folgende Maßnahmen ergreifen: Das Plugin sofort über das WordPress-Dashboard auf Version 1.44.3 oder höher aktualisieren. Falls eine sofortige Aktualisierung nicht möglich ist, sollte das Plugin vorübergehend deaktiviert werden, bis das Sicherheitsupdate installiert werden kann.
Diese Sicherheitslücke verdeutlicht die kritische Bedeutung regelmäßiger Plugin-Updates und kontinuierlicher Sicherheitsüberwachung von WordPress-Websites. Die zeitnahe Implementierung von Sicherheitspatches ist ein unverzichtbarer Bestandteil des Schutzes vor modernen Cyberbedrohungen und der Verhinderung von Website-Kompromittierungen.