8.8 из 10: критическая уязвимость ставит под угрозу сотни тысяч WordPress-сайто

CVE-2025-6463 позволяет хакерам угнать ваш ресурс прямо из-под носа.


rgzx4igd1k2ftmk9cle0muluevh03mhy.jpg


В популярном плагине Forminator для WordPress обнаружена серьёзная уязвимость , которая позволяет злоумышленникам без авторизации удалять произвольные файлы на сайте. Эта проблема потенциально может привести к полному захвату ресурсов. Она получила идентификатор CVE-2025-6463 и классифицируется как критическая — её оценка по шкале CVSS составляет 8,8 балла.

Forminator Forms — разработка компании WPMU DEV. Плагин предлагает гибкий визуальный конструктор, позволяющий владельцам сайтов создавать различные формы и внедрять их на страницы без необходимости программирования. Согласно официальной статистике WordPress.org, на сегодняшний день Forminator активен более чем на 600 тысячах сайтов по всему миру.

Уязвимость кроется в недостаточной проверке и очистке входящих данных форм, а также в небезопасной логике удаления файлов внутри серверного кода плагина. Проблемный участок кода связан с функцией «save_entry_fields()», которая сохраняет значения всех полей формы, включая пути к файлам, не проверяя, предназначено ли конкретное поле для работы с файлами.

Этим поведением могут воспользоваться злоумышленники, подставляя в любое текстовое поле формы специальный массив данных, имитирующий загруженный файл. В таком массиве можно прописать путь к критически важному файлу сайта, например к конфигурационному файлу WordPress — «/var/www/html/wp-config.php». Если затем администратор удалит это поле или активируется автоматическое удаление старых записей, предусмотренное настройками плагина, то система физически сотрёт указанный файл.

Удаление конфигурационного файла WordPress приводит к тому, что сайт переходит в режим первоначальной установки. В этот момент злоумышленник может подключить ресурс к своей базе данных и таким образом получить полный контроль над сайтом.

Как поясняет команда безопасности Wordfence, именно этот механизм делает уязвимость крайне опасной. Специалисты подчёркивают, что успешная эксплуатация приводит не просто к повреждению файлов, а к ситуации, когда сайт полностью открыт для захвата.

Обнаружил опасность исследователь под псевдонимом Phat RiO из компании BlueRock, который уведомил об этом Wordfence 20 июня. За предоставленную информацию о сбое он получил вознаграждение в размере 8100 долларов. После внутренней проверки специалисты Wordfence связались с разработчиком плагина — компанией WPMU DEV — 23 июня. Представители компании подтвердили существование проблемы и приступили к устранению.

30 июня была выпущена новая версия Forminator под номером 1.44.3. В ней добавлена проверка типов полей и валидация путей к файлам, что исключает возможность удаления чего-либо за пределами каталога загрузок WordPress.

С момента выхода обновления плагин был скачан уже более 200 тысяч раз. Однако точное количество сайтов, которые до сих пор остаются уязвимыми для CVE-2025-6463, неизвестно .

Пользователям, использующим Forminator, настоятельно рекомендуется как можно скорее обновить плагин до последней версии либо временно деактивировать его до установки безопасного варианта. На текущий момент сообщений об активном использовании уязвимости злоумышленниками не поступало. Однако обнародование технических деталей сбоя и относительная простота его эксплуатации повышают риск того, что атаки начнутся в ближайшее время.