Zraniteľnosť v module Forminator možno zneužiť na kompromitáciu WordPress

Vývojári modulu WordPress The Forminator Forms vydali bezpečnostné aktualizácie, ktoré opravujú vysoko závažnú zraniteľnosť. CVE-2025-6463 možno zneužiť na odstránenie súborov redakčného systému a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• WordPress The Forminator Forms – Contact Form, Payment Form & Custom Form Builder vo verzii 1.44.2 a starších

Opis zraniteľnosti:

CVE-2025-6463  (CVSS skóre 8,8)

Vysoko závažná zraniteľnosť spočíva v nedostatočnom overovaní používateľských vstupov vo funkcii save_entry_fields() a súborových ciest v rámci funkcie entry_delete_upload_file(). Vzdialený neautentifikovaný útočník by ju mohol zneužiť na zmazanie ľubovoľných súborov redakčného systému. Zmazaním špecifických súborov ako napr. wp-config.php možno opätovne inicializovať konfiguráciu webstránky a získať úplnú kontrolu nad systémom.

Možné škody:

• Neoprávnená zmena v systéme
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu modulu The Forminator Forms na verziu 1.44.3 alebo novšiu. Rovnako odporúčame preveriť integritu súborov redakčného systému WordPress a logy CMS, sieťových a bezpečnostných prvkov na prítomnosť pokusov o zneužitie zraniteľnosti.

Zdroje:

• https://www.wordfence.com/blog/2025/07/600000-wordpress-sites-affected-by-arbitrary-file-deletion-vulnerability-in-forminator-wordpress-plugin/
• https://www.cve.org/CVERecord?id=CVE-2025-6463
• https://www.bleepingcomputer.com/news/security/forminator-plugin-flaw-exposes-wordpress-sites-to-takeover-attacks/