CVE-2025-6463:Forminator 插件曝高危任意文件删除漏洞,超 60 万 WordPress 网站恐遭远程接管

阅读量8494

发布时间 : 2025-07-03 14:50:51

x
译文声明

本文是翻译文章,文章原作者 Ddos,文章来源: securityonline

原文地址:https://securityonline.info/cve-2025-6463-unauthenticated-arbitrary-file-deletion-in-forminator-plugin-exposes-over-600000-wordpress-sites-to-remote-takeover/

译文仅供参考,具体内容表达以及含义原文为准。

近日披露的一项高危漏洞正威胁着数十万 WordPress 网站的安全。该漏洞编号为 CVE-2025-6463,存在于流行插件 Forminator 中,为未授权任意文件删除漏洞,CVSS 评分高达 8.8。攻击者可利用该漏洞删除服务器上的关键文件,最终可能实现对整站的远程接管。

据安全公司 Wordfence 通报,受影响插件为 Forminator Forms – Contact Form, Payment Form & Custom Form Builder,目前活跃安装量超过 60 万。漏洞影响版本为 1.44.2 及以下,已在 1.44.3 版本中修复。

Wordfence 指出:“**该漏洞允许未认证攻击者在表单提交中指定任意文件路径,并在表单被删除时自动删除指定文件。**攻击者可借此删除诸如wp-config.php 等核心配置文件,进而造成远程代码执行风险。”

该漏洞由安全研究员 Phat RiO – BlueRock 通过 Wordfence 漏洞赏金计划负责任地披露,并获得 8,100 美元赏金

问题源于插件对表单提交中传入的文件路径缺乏有效验证。受影响函数为 entry_delete_upload_files(),它盲目信任用户输入,未检查文件类型、字段上下文或上传路径。

该函数会在表单被删除时触发,无论是管理员手动删除,还是插件设置自动清理。Wordfence 警告:“这意味着任何启用了表单的站点都可能遭到利用……攻击者可在任意表单字段中提交文件数组,即便该字段本不应支持上传。”

因此,攻击者只需构造一个精心设计的表单提交,请求中引用服务器上的任意文件。一旦该提交被系统识别为垃圾内容并自动删除(或管理员手动删除),所引用的文件也将被一并删除。若被删除的是  wp-config.php,后果极为严重:“删除 wp-config.php 会使站点进入初始化安装状态,攻击者可通过绑定其控制的数据库重新接管整个站点。”

该漏洞危险性还在于其攻击门槛极低:不需要认证,仅通过一次普通表单提交即可触发,易于批量自动化。

Wordfence 强调:“我们认为,表单被识别为垃圾内容并被删除是非常常见的操作,使得该漏洞成为攻击者的重点目标。”

为防范风险,建议所有站点管理员立即升级 Forminator 插件至 1.44.3 或以上版本,并采取以下安全措施:

  • 审查插件的自动删除与垃圾内容过滤设置

  • 监控可疑的表单提交行为;

  • 审计文件系统,检查是否有异常删除记录;

  • 考虑启用 WAF(Web 应用防火墙) 进行主动防御。

 

本文翻译自 securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全KER All Rights Reserved 京ICP备08010314号-66