O plugin Forminator para WordPress está vulnerável a uma falha de exclusão arbitrária de arquivo sem autenticação, que poderia permitir ataques de tomada total do site.
A questão de segurança é rastreada como
CVE-2025-6463
e tem um impacto de alta gravidade (pontuação CVSS 8.8).
Ela afeta todas as versões do Forminator até a 1.44.2.
Forminator Forms é um plugin desenvolvido pelo WPMU DEV.
Ele oferece um builder visual flexível de arrastar e soltar para ajudar os usuários a criar e incorporar uma ampla gama de conteúdo baseado em formulários nos sites WordPress.
De acordo com estatísticas do WordPress.org, o plugin está atualmente ativo em mais de 600,000 sites.
A vulnerabilidade é proveniente da validação insuficiente e da sanitização da entrada de campo de formulário e da lógica insegura de exclusão de arquivo no código backend do plugin.
Quando um usuário submete um formulário, a função ‘save_entry_fields()’ salva todos os valores dos campos, incluindo caminhos de arquivo, sem verificar se aqueles campos são destinados a manusear arquivos.
Um atacante poderia explorar esse comportamento para inserir uma matriz de arquivos feita sob medida em qualquer campo, incluindo campos de texto, imitando um arquivo carregado com um caminho personalizado que aponta para um arquivo crítico, como ‘/var/www/html/wp-config.php.’
Quando o admin exclui isso ou quando o plugin exclui automaticamente submissões antigas (conforme configurado), o Forminator apaga o arquivo principal do WordPress, forçando o site a entrar em um estágio de “configuração” onde fica vulnerável a tomada de controle.
"Excluir o wp-config.php força o site a entrar em um estado de configuração, permitindo que um atacante inicie a tomada de controle do site conectando-o a um banco de dados sob seu controle", explica Wordfence.
O
CVE-2025-6463
foi descoberto pelo pesquisador de segurança ‘Phat RiO – BlueRock’, que o reportou ao Wordfence em 20 de junho e recebeu uma recompensa de bug de $8,100.
Após a validação interna do exploit, o Wordfence contatou o WPMU DEV em 23 de junho, que reconheceu o relatório e começou a trabalhar em uma correção.
Em 30 de junho, o fornecedor lançou a versão 1.44.3 do Forminator, que adiciona uma verificação de tipo de campo e uma validação de caminho de arquivo que garante que as exclusões sejam limitadas ao diretório de uploads do WordPress.
Desde o lançamento do patch, houve 200,000 downloads, mas não está claro quantos estão atualmente vulneráveis à exploração do
CVE-2025-6463
.
Se você usa o Forminator para o seu site, recomenda-se atualizá-lo para a versão mais recente ou desativar o plugin até que você possa migrar para uma versão segura.
No momento, não há relatos sobre a exploração ativa do
CVE-2025-6463
, mas a divulgação pública dos detalhes técnicos combinada com a facilidade de exploração pode levar os atores de ameaças a se moverem rapidamente para explorar seu potencial em ataques.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...