Una vulnerabilidad de seguridad altamente crítica ha sido descubierta en el popular plugin Forminator para WordPress, poniendo en riesgo más de 600,000 instalaciones activas a nivel mundial. La falla de seguridad, catalogada como CVE-2025-6463, ha recibido una puntuación de gravedad de 8.8 en la escala CVSS, lo que la clasifica como una amenaza de alta prioridad que requiere atención inmediata.
Detalles Técnicos de la Vulnerabilidad CVE-2025-6463
El fallo de seguridad fue identificado por el investigador de ciberseguridad conocido como Phat RiO – BlueRock, quien reportó el hallazgo al equipo de Wordfence el 20 de junio de 2025. La importancia crítica de este descubrimiento se refleja en la recompensa de $8,100 dólares otorgada al investigador por su contribución a la seguridad del ecosistema WordPress.
La vulnerabilidad se origina en una validación insuficiente de datos de entrada y una lógica defectuosa en el manejo de archivos dentro del código backend del plugin. Específicamente, la función save_entry_fields() procesa y almacena todos los valores de campos de formulario, incluyendo rutas de archivos, sin implementar verificaciones adecuadas del tipo de campo ni validación de las rutas de archivos.
Método de Explotación y Vectores de Ataque
El proceso de explotación de esta vulnerabilidad sigue un patrón de ataque de dos fases claramente definido. En la primera fase, un atacante malintencionado puede inyectar un array de datos especialmente diseñado en cualquier campo del formulario, incluyendo campos de texto aparentemente inofensivos. Esta manipulación permite al atacante simular un archivo cargado con una ruta arbitraria, como por ejemplo, dirigirse al archivo crítico del sistema /var/www/html/wp-config.php.
Durante la segunda fase, cuando un administrador elimina manualmente dicha entrada o cuando se ejecuta la eliminación automática de registros antiguos, el plugin Forminator procede a eliminar el archivo del sistema especificado. Esta acción resulta en la eliminación del archivo wp-config.php, causando que el sitio WordPress regrese a su estado de configuración inicial.
Impacto y Consecuencias de la Explotación
Las consecuencias de una explotación exitosa son devastadoras para la seguridad del sitio web. Como explican los expertos de Wordfence: «La eliminación del archivo wp-config.php coloca el sitio en un estado de configuración inicial, permitiendo a los atacantes iniciar una toma de control completa del sitio conectándolo a una base de datos bajo su control».
Este escenario de ataque otorga al ciberdelincuente control total sobre el sitio web, incluyendo capacidades para acceder a datos sensibles de usuarios, instalar código malicioso, y utilizar el recurso comprometido como plataforma para lanzar ataques adicionales contra otros objetivos.
Información del Plugin Forminator Afectado
Forminator, desarrollado por WPMU DEV, es un constructor de formularios ampliamente utilizado en el ecosistema WordPress. El plugin proporciona funcionalidades avanzadas para crear formularios de pago, formularios de contacto, encuestas, cuestionarios y formularios de registro utilizando una interfaz intuitiva de arrastrar y soltar.
La popularidad masiva del plugin, con 600,000 instalaciones activas según las estadísticas oficiales de WordPress.org, magnifica significativamente el alcance potencial de esta vulnerabilidad dentro del ecosistema WordPress global.
Resolución y Medidas de Mitigación
Los desarrolladores del plugin respondieron rápidamente al reporte de vulnerabilidad. El 30 de junio se publicó la versión corregida 1.44.3, que incorpora validaciones adicionales del tipo de campo y verificaciones robustas de rutas de archivos. Esta actualización asegura que las operaciones de eliminación de archivos se limiten exclusivamente al directorio de carga de WordPress.
Aunque el parche ha sido descargado aproximadamente 200,000 veces desde su lanzamiento, el número exacto de instalaciones que permanecen vulnerables sigue siendo desconocido. La vulnerabilidad afecta a todas las versiones de Forminator hasta la 1.44.2 inclusive.
Recomendaciones de Seguridad Urgentes
Los administradores de sitios WordPress que utilicen el plugin Forminator deben tomar medidas inmediatas para proteger sus instalaciones. La acción más crítica es actualizar inmediatamente el plugin a la versión 1.44.3 o posterior a través del panel de administración de WordPress.
En casos donde la actualización no pueda realizarse de inmediato, se recomienda encarecidamente desactivar temporalmente el plugin hasta que se pueda implementar la corrección de seguridad.
Esta vulnerabilidad subraya la importancia crítica de mantener un programa robusto de gestión de parches de seguridad y monitoreo continuo de vulnerabilidades en entornos WordPress. La implementación oportuna de actualizaciones de seguridad constituye un elemento fundamental en la defensa contra amenazas cibernéticas modernas y la prevención de compromisos de seguridad en recursos web críticos.