近日披露的一项高危漏洞正威胁着数十万 WordPress 网站的安全。该漏洞编号为 CVE-2025-6463,存在于流行插件 Forminator 中,为未授权任意文件删除漏洞,CVSS 评分高达 8.8。攻击者可利用该漏洞删除服务器上的关键文件,最终可能实现对整站的远程接管。
据安全公司 Wordfence 通报,受影响插件为 Forminator Forms – Contact Form, Payment Form & Custom Form Builder,目前活跃安装量超过 60 万。漏洞影响版本为 1.44.2 及以下,已在 1.44.3 版本中修复。
Wordfence 指出:“**该漏洞允许未认证攻击者在表单提交中指定任意文件路径,并在表单被删除时自动删除指定文件。**攻击者可借此删除诸如wp-config.php 等核心配置文件,进而造成远程代码执行风险。”
该漏洞由安全研究员 Phat RiO – BlueRock 通过 Wordfence 漏洞赏金计划负责任地披露,并获得 8,100 美元赏金。
问题源于插件对表单提交中传入的文件路径缺乏有效验证。受影响函数为 entry_delete_upload_files()
,它盲目信任用户输入,未检查文件类型、字段上下文或上传路径。
该函数会在表单被删除时触发,无论是管理员手动删除,还是插件设置自动清理。Wordfence 警告:“这意味着任何启用了表单的站点都可能遭到利用……攻击者可在任意表单字段中提交文件数组,即便该字段本不应支持上传。”
因此,攻击者只需构造一个精心设计的表单提交,请求中引用服务器上的任意文件。一旦该提交被系统识别为垃圾内容并自动删除(或管理员手动删除),所引用的文件也将被一并删除。若被删除的是 wp-config.php,后果极为严重:“删除 wp-config.php 会使站点进入初始化安装状态,攻击者可通过绑定其控制的数据库重新接管整个站点。”
该漏洞危险性还在于其攻击门槛极低:不需要认证,仅通过一次普通表单提交即可触发,易于批量自动化。
Wordfence 强调:“我们认为,表单被识别为垃圾内容并被删除是非常常见的操作,使得该漏洞成为攻击者的重点目标。”
为防范风险,建议所有站点管理员立即升级 Forminator 插件至 1.44.3 或以上版本,并采取以下安全措施:
-
审查插件的自动删除与垃圾内容过滤设置;
-
监控可疑的表单提交行为;
-
审计文件系统,检查是否有异常删除记录;
-
考虑启用 WAF(Web 应用防火墙) 进行主动防御。
发表评论
您还未登录,请先登录。
登录