В одном из самых популярных плагинов для WordPress — Forminator, используемом на более чем 600000 активных сайтов, обнаружена уязвимость, позволяющая злоумышленникам получить доступ к управлению сайтом.
Уязвимость обнаружил пользователь под псевдонимом Phat RiO – BlueRock. По его данным, Forminator плохо фильтрует вводимые данные в формах и содержит небезопасную логику удаления файлов. Это позволяет хакерам с помощью подставного файла принудительно удалить wp-config.php — основной конфигурационный файл WordPress.
После этого сайт переходит в режим первоначальной настройки, и злоумышленник может подключить его к собственной базе данных, получив полный контроль.
Технические детали уязвимости:
- идентификатор: CVE-2025-6463
- оценка уязвимости: 8.8 из 10 (высокая)
- уязвимые версии: все до 1.44.2 включительно
Что делать администраторам сайтов:
- немедленно обновить Forminator до версии 1.44.3
- временно отключить и удалить плагин, если обновление невозможно
- поддерживать в актуальном состоянии все плагины и темы
- удалять неиспользуемые расширения
По информации ресурса BleepingComputer, после выхода патча обновление было загружено около 200000 раз.
Эксперты Wordfence, занимающиеся безопасностью WordPress, подчёркивают: несмотря на устойчивость самой платформы, уязвимости чаще всего скрываются в сторонних плагинах — особенно популярных.
Источник: TechRadar