Исследователи кибербезопасности обнаружили серьезную уязвимость в популярном плагине Forminator для WordPress, которая может привести к полному компрометированию веб-сайтов. Дефект безопасности, получивший идентификатор CVE-2025-6463, затрагивает более 600 000 активных установок и имеет высокий рейтинг критичности 8.8 балла по шкале CVSS.
Техническая характеристика уязвимости CVE-2025-6463
Уязвимость была обнаружена специалистом по информационной безопасности под псевдонимом Phat RiO — BlueRock, который сообщил о проблеме команде Wordfence 20 июня 2025 года. За обнаружение этого критического дефекта исследователь получил вознаграждение в размере 8100 долларов США.
Проблема заключается в недостаточной валидации пользовательского ввода и небезопасной логике обработки файлов в backend-коде плагина. Функция save_entry_fields() сохраняет все значения полей формы, включая пути к файлам, без проверки типа поля и валидации путей к файлам.
Механизм эксплуатации уязвимости
Злоумышленник может использовать эту уязвимость следующим образом:
Первый этап атаки заключается во внедрении специально сформированного массива данных в любое поле формы, включая текстовые поля. Атакующий может имитировать загруженный файл с произвольным путем, например, указывающим на критически важный системный файл /var/www/html/wp-config.php.
На втором этапе, когда администратор удаляет такую запись вручную или срабатывает автоматическое удаление старых записей, плагин Forminator удаляет указанный системный файл. Это приводит к переходу сайта в режим первоначальной настройки WordPress.
Последствия успешной атаки
Удаление файла wp-config.php имеет катастрофические последствия для безопасности WordPress-сайта. Как объясняют эксперты Wordfence: «Удаление wp-config.php переводит сайт в состояние настройки, что позволяет злоумышленнику инициировать захват сайта, подключив его к базе данных под своим контролем».
Такой сценарий атаки предоставляет злоумышленнику полный контроль над веб-сайтом, включая возможность доступа к пользовательским данным, установки вредоносного кода и использования скомпрометированного ресурса для дальнейших атак.
Информация о плагине Forminator
Forminator, разработанный компанией WPMU DEV, является популярным конструктором форм для WordPress. Плагин предоставляет функциональность создания платежных форм, контактных форм, опросов, викторин и анкет с использованием удобного drag-and-drop интерфейса.
Согласно официальной статистике WordPress.org, плагин установлен и активен на 600 000 сайтов, что делает эту уязвимость особенно опасной для экосистемы WordPress.
Исправление уязвимости и рекомендации
Разработчики плагина оперативно отреагировали на обнаружение уязвимости. 30 июня была выпущена исправленная версия 1.44.3, которая включает дополнительные проверки типа поля и валидацию путей к файлам. Обновление гарантирует, что операции удаления ограничены только директорией загрузок WordPress.
С момента выхода патча плагин был загружен около 200 000 раз, однако точное количество все еще уязвимых установок остается неизвестным. Уязвимость затрагивает все версии Forminator вплоть до 1.44.2 включительно.
Срочные меры защиты
Администраторам WordPress-сайтов, использующим плагин Forminator, настоятельно рекомендуется:
Немедленно обновить плагин до версии 1.44.3 или более поздней через административную панель WordPress. Если обновление невозможно выполнить немедленно, следует временно деактивировать плагин до установки исправления.
Данная уязвимость подчеркивает важность регулярного обновления плагинов WordPress и мониторинга безопасности веб-сайтов. Своевременное применение исправлений безопасности является критически важным элементом защиты от современных киберугроз и предотвращения компрометации веб-ресурсов.