O podatnościach WordPressa pisaliśmy już wielokrotnie. Dziś znów ostrzegamy przed luką, która dotyczy nakładki na najpopularniejszego CMS-a na świecie. Forminator, bo o nim mowa, to powszechnie używana wtyczka do tworzenia formularzy. Ma ponad 600 000 aktywnych instalacji. Obsługuje kreowanie różnych typów formularzy, w tym kontaktowych i płatniczych, ankiet oraz wielu innych.
Wtyczka WordPressa została uznana za podatną (CVE-2025-6463, wynik CVSS 8,8). Luka polega na przypadkowym usunięciu plików. Istnieje, ponieważ ścieżki plików nie są wystarczająco dobrze sprawdzane w funkcji używanej do usuwania przesłanych plików formularza.
Według firmy zajmującej się bezpieczeństwem WordPressa – Defiant – funkcja, której Forminator używa do zapisywania pól wprowadzania formularza w bazie danych, nie wykonuje prawidłowej dezynfekcji wartości w polu, co pozwala atakującym na przesyłanie tablic plików w polach formularza.
Ponadto funkcja odpowiedzialna za usuwanie plików przesłanych za pośrednictwem formularza nie wykonuje niezbędnych kontroli typu pola, rozszerzenia pliku i ograniczeń katalogu przesyłania.
„Oznacza to, iż ta funkcja usuwa wszystkie pliki zawarte w wartości meta, jeżeli wartość meta jest tablicą plików. Jak ustalono wcześniej, użytkownicy mogą podać tablicę plików w dowolnym polu przesyłania formularza, choćby jeżeli pole nie powinno akceptować plików. To sprawia, iż podatność jest możliwa do wykorzystania w dowolnym wystąpieniu z aktywnym formularzem” – wyjaśnia Defiant.
Według firmy podatność może zostać wykorzystana przez nieuwierzytelnionych atakujących w celu określenia dowolnych plików na serwerze, które zostaną usunięte podczas usuwania formularza, manualnie lub automatycznie, w zależności od ustawień instalacji.
Atakujący, wyjaśnia Defiant, mogliby określić plik wp-config.php witryny do usunięcia, co spowodowałoby przejście witryny w stan konfiguracji, umożliwiając atakującemu przejęcie nad nią kontroli.
„Chociaż luka wymaga kroku biernej lub aktywnej interakcji do wykorzystania, uważamy, iż usunięcie przesłanego formularza, zwłaszcza jeżeli jest stworzony tak, aby sprawiać wrażenie spamu, jest bardzo prawdopodobną sytuacją, która sprawia, iż ta luka jest głównym celem atakujących” – twierdzą specjaliści Defiant.
CVE-2025-6463 zostało naprawione w Forminatorze w wersji 1.44.3 poprzez dodanie sprawdzania ścieżki pliku do funkcji usuwania, która teraz usuwa tylko pliki przesłane dzięki pól formularza, mające oznaczenie „prześlij” lub „podpis” i umieszczone w katalogu przesyłania WordPressa.
Poprawiona iteracja wtyczki została wydana 30 czerwca, ale dane WordPressa pokazują, iż została pobrana mniej niż 200 000 razy w ciągu ostatnich dwóch dni, co sugeruje, iż ponad 400 000 witryn pozostaje podatnych na atak.
Badacz ds. bezpieczeństwa, który odkrył błąd i zgłosił go za pośrednictwem programu Wordfence Bug Bounty, otrzymał nagrodę w wysokości 8100 USD.
Biorąc pod uwagę ryzyko, jakie stwarza ta luka, użytkownikom zaleca się jak najszybszą aktualizację instalacji Forminatora do najnowszej wersji.