Фахівці з кібербезпеки виявили критичну уразливість у популярному плагіні Forminator для WordPress, яка створює серйозну загрозу для понад 600 000 активних веб-сайтів. Вразливість, позначена як CVE-2025-6463, отримала високий рейтинг критичності 8.8 балів за шкалою CVSS і може призвести до повного захоплення сайту зловмисниками.
Технічні деталі уразливості та механізм виявлення
Дослідник інформаційної безпеки Phat RiO – BlueRock повідомив про виявлення цієї критичної вразливості команді Wordfence 20 червня 2025 року. За свою роботу експерт отримав винагороду у розмірі 8 100 доларів США, що підкреслює серйозність знайденого дефекту.
Основна проблема полягає в недостатній валідації користувацького вводу та небезпечній логіці обробки файлів у backend-коді плагіна. Функція save_entry_fields() зберігає всі значення полів форми, включаючи шляхи до файлів, без належної перевірки типу поля та валідації файлових шляхів.
Як працює експлуатація уразливості
Атакуючий може використовувати цю вразливість через двоетапний процес. На першому етапі зловмисник впроваджує спеціально сформований масив даних у будь-яке поле форми, включаючи звичайні текстові поля. Це дозволяє імітувати завантажений файл з довільним шляхом, наприклад, що вказує на критично важливий системний файл /var/www/html/wp-config.php.
Другий етап активується, коли адміністратор видаляє таку запис вручну або спрацьовує автоматичне видалення старих записів. У цьому випадку плагін Forminator видаляє вказаний системний файл, що призводить до переходу сайту в режим первинного налаштування WordPress.
Наслідки успішної атаки та ризики для безпеки
Видалення файлу wp-config.php має катастрофічні наслідки для безпеки WordPress-сайту. Як пояснюють експерти Wordfence: “Видалення wp-config.php переводить сайт у стан налаштування, що дозволяє зловмиснику ініціювати захоплення сайту, підключивши його до бази даних під своїм контролем”.
Такий сценарій атаки надає зловмиснику повний контроль над веб-сайтом, включаючи можливість доступу до користувацьких даних, встановлення шкідливого коду та використання скомпрометованого ресурсу для подальших атак на інші системи.
Характеристики плагіна Forminator та масштаб загрози
Forminator, розроблений компанією WPMU DEV, є одним з найпопулярніших конструкторів форм для WordPress. Плагін надає функціональність створення платіжних форм, контактних форм, опитувань, вікторин та анкет з використанням зручного drag-and-drop інтерфейсу.
Згідно з офіційною статистикою WordPress.org, плагін встановлений та активний на 600 000 сайтів, що робить цю вразливість особливо небезпечною для всієї екосистеми WordPress.
Виправлення уразливості та рекомендації щодо захисту
Розробники плагіна оперативно відреагували на виявлення уразливості. 30 червня була випущена виправлена версія 1.44.3, яка включає додаткові перевірки типу поля та валідацію шляхів до файлів. Оновлення гарантує, що операції видалення обмежені лише директорією завантажень WordPress.
З моменту випуску патча плагін був завантажений близько 200 000 разів, однак точна кількість все ще вразливих установок залишається невідомою. Уразливість зачіпає всі версії Forminator до 1.44.2 включно.
Невідкладні заходи безпеки для адміністраторів
Адміністраторам WordPress-сайтів, які використовують плагін Forminator, настійно рекомендується негайно оновити плагін до версії 1.44.3 або пізнішої через адміністративну панель WordPress. Якщо оновлення неможливо виконати негайно, слід тимчасово деактивувати плагін до встановлення виправлення.
Ця вразливість підкреслює важливість регулярного оновлення плагінів WordPress та постійного моніторингу безпеки веб-сайтів. Своєчасне застосування виправлень безпеки є критично важливим елементом захисту від сучасних кіберзагроз та запобігання компрометації веб-ресурсів. Рекомендується також впровадити системи автоматичного оновлення та регулярного резервного копіювання для мінімізації ризиків у майбутньому.