Уязвимость в WordPress-плагине Forminator угрожает 400 000 сайтов - «Новости»

  • 14:30, 04-июл-2025
  • Добавления стилей / Вёрстка / Новости / Сайтостроение / Формы / Заработок / Преимущества стилей / Типы носителей / Линии и рамки
  • Рогнеда
  • 0

В плагине Forminator для WordPress обнаружили уязвимость, связанную с неавторизованным удалением произвольных файлов, что может привести к полному захвату уязвимого сайта.


Проблема получила идентификатор CVE-2025-6463 (8,8 балла по шкале CVSS) и затрагивает все версии Forminator вплоть до 1.44.2. Баг был обнаружен исследователем под ником Phat RiO - BlueRock, который сообщил о нем в Wordfence 20 июня 2025 года. В итоге специалист получил вознаграждение в размере 8100 долларов за обнаружение этой уязвимости.


Forminator, созданный компанией WPMU DEV, представляет собой конструктор для платежных форм, контактов, обратной связи, викторин, опросов и анкет для сайтов под управлением WordPress. Плагин использует простую функциональность drag-and-drop и обладает широкими возможностями для сторонних интеграций.


Согласно статистике WordPress.org, в настоящее время плагин установлен и активен на 600 000 сайтов.


Обнаруженная уязвимость связана с недостаточной валидацией и очисткой ввода, а также небезопасной логикой удаления файлов в коде бэкэнда плагина. Так, когда пользователь отправляет форму, функция save_entry_fields() сохраняет все значения полей, включая пути к файлам, не проверяя, должны ли эти поля работать с файлами.


Злоумышленник может воспользоваться этим поведением, чтобы внедрить специально сформированный массив файла в любое поле (даже текстовое), имитируя загруженный файл с кастомным путем, например, указывающим на критически важный файл /var/www/html/wp-config.php.


Если после этого администратор удалит такую запись вручную (или включено автоматическое удаление старых записей), Forminator сотрет этот системный файл WordPress, после чего сайт перейдет в режим первоначальной настройки и станет уязвим для атак.


«Удаление wp-config.php переводит сайт в состояние настройки, что позволяет злоумышленнику инициировать захват сайта, подключив его к БД под своим контролем», — объясняют специалисты Wordfence.


30 июня разработчики плагина выпустили исправленную версию 1.44.3, в которой добавили проверку типа поля и пути к файлу. Это гарантирует, что удаления будут ограничены только директорией загрузок WordPress.


С момента выхода патча плагин был загружен около 200 000 раз, однако неизвестно, какое количество установок по-прежнему уязвимы для CVE-2025-6463.


Всем пользователям Forminator рекомендуется как можно скорее обновить его до последней версии или деактивировать плагин до момента установки патча.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В плагине Forminator для WordPress обнаружили уязвимость, связанную с неавторизованным удалением произвольных файлов, что может привести к полному захвату уязвимого сайта. Проблема получила идентификатор CVE-2025-6463 (8,8 балла по шкале CVSS) и затрагивает все версии Forminator вплоть до 1.44.2. Баг был обнаружен исследователем под ником Phat RiO - BlueRock, который сообщил о нем в Wordfence 20 июня 2025 года. В итоге специалист получил вознаграждение в размере 8100 долларов за обнаружение этой уязвимости. Forminator, созданный компанией WPMU DEV, представляет собой конструктор для платежных форм, контактов, обратной связи, викторин, опросов и анкет для сайтов под управлением WordPress. Плагин использует простую функциональность drag-and-drop и обладает широкими возможностями для сторонних интеграций. Согласно статистике WordPress.org, в настоящее время плагин установлен и активен на 600 000 сайтов. Обнаруженная уязвимость связана с недостаточной валидацией и очисткой ввода, а также небезопасной логикой удаления файлов в коде бэкэнда плагина. Так, когда пользователь отправляет форму, функция save_entry_fields() сохраняет все значения полей, включая пути к файлам, не проверяя, должны ли эти поля работать с файлами. Злоумышленник может воспользоваться этим поведением, чтобы внедрить специально сформированный массив файла в любое поле (даже текстовое), имитируя загруженный файл с кастомным путем, например, указывающим на критически важный файл /var/www/html/wp-config.php. Если после этого администратор удалит такую запись вручную (или включено автоматическое удаление старых записей), Forminator сотрет этот системный файл WordPress, после чего сайт перейдет в режим первоначальной настройки и станет уязвим для атак. «Удаление wp-config.php переводит сайт в состояние настройки, что позволяет злоумышленнику инициировать захват сайта, подключив его к БД под своим контролем», — объясняют специалисты Wordfence. 30 июня разработчики плагина выпустили исправленную версию 1.44.3, в которой добавили проверку типа поля и пути к файлу. Это гарантирует, что удаления будут ограничены только директорией загрузок WordPress. С момента выхода патча плагин был загружен около 200 000 раз, однако неизвестно, какое количество установок по-прежнему уязвимы для CVE-2025-6463. Всем пользователям Forminator рекомендуется как можно скорее обновить его до последней версии или деактивировать плагин до момента установки патча.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!