WordPress的Forminator插件被发现存在一个未经身份验证的任意文件删除漏洞,这可能导致网站被完全接管。该安全问题被追踪为CVE-2025-6463,严重性高(CVSS评分8.8),影响所有Forminator版本至1.44.2。了解更多
根据WordPress.org统计,目前该插件在超过60万个网站上处于激活状态。漏洞源于插件后端代码中对表单字段输入的验证和清理不足,以及不安全的文件删除逻辑。当用户提交表单时,’save_entry_fields()’函数会保存所有字段值,包括文件路径,而不检查这些字段是否应该处理文件。一名攻击者可以利用这种行为将一个伪造的文件数组插入到任何字段中,包括文本字段,模拟一个具有自定义路径的上传文件,该路径指向关键文件,例如’/var/www/html/wp-config.php’。
当管理员删除此文件或插件自动删除旧提交时,Forminator会清除核心WordPress文件,迫使网站进入“设置”阶段,使其易受接管攻击。Wordfence解释道:“删除wp-config.php会迫使网站进入设置状态,使攻击者能够通过将其连接到他们控制的数据库来发起接管。”
该漏洞由安全研究员‘Phat RiO – BlueRock’发现,并于6月20日报告给Wordfence,获得了8100美元的漏洞赏金。随后,Wordfence于6月23日联系了WPMU DEV,后者承认报告并开始着手修复。6月30日,供应商发布了Forminator版本1.44.3,增加了字段类型检查和文件路径验证,以确保删除仅限于WordPress上传目录。
目前尚无关于CVE-2025-6463的主动利用报告,但技术细节的公开披露与利用的容易性可能会促使威胁行为者迅速探索其攻击潜力。