O popular plugin Forminator, desenvolvido pela WPMU DEV e ativo em mais de 600.000 websites WordPress, contém uma vulnerabilidade de segurança de alta gravidade. A falha, identificada como CVE-2025-6463 e com uma pontuação CVSS de 8.8, permite que um atacante, sem necessidade de autenticação, apague ficheiros arbitrários no servidor, o que pode levar à tomada de controlo total do site.
O Forminator é amplamente utilizado pela sua flexibilidade, oferecendo um construtor visual de arrastar e soltar para criar formulários de vários tipos. A falha de segurança afeta todas as versões do plugin até à 1.44.2.
Como funciona esta vulnerabilidade no Forminator?
O problema reside na forma como o código do plugin processa os dados submetidos através dos formulários. A função save_entry_fields() guarda todos os valores dos campos sem verificar adequadamente se esses campos deveriam, de facto, conter ficheiros.
Um atacante pode explorar este comportamento ao manipular os dados enviados num campo de texto simples, fazendo-o passar por um ficheiro carregado. Nesse pedido, o atacante pode especificar um caminho para um ficheiro crítico do sistema, como o wp-config.php, que contém as credenciais de acesso à base de dados do WordPress.
Quando essa entrada de formulário é posteriormente eliminada pelo administrador, ou através da funcionalidade de limpeza automática de submissões antigas do próprio plugin, o Forminator apaga o ficheiro vital indicado pelo atacante. "A eliminação do wp-config.php força o site a entrar no modo de configuração, permitindo que um atacante inicie uma tomada de controlo ao ligá-lo a uma base de dados sob o seu domínio", explica a equipa da Wordfence.
Descoberta e correção da falha
A vulnerabilidade CVE-2025-6463 foi descoberta pelo investigador de segurança 'Phat RiO – BlueRock', que a reportou à Wordfence no dia 20 de junho, recebendo uma recompensa de 8.100 dólares pelo seu trabalho.
Após a validação interna da falha, a Wordfence contactou os developers da WPMU DEV no dia 23 de junho. A equipa reconheceu o problema e começou imediatamente a trabalhar numa solução. A 30 de junho, foi lançada a versão 1.44.3 do Forminator, que corrige a vulnerabilidade ao adicionar uma verificação do tipo de campo e ao validar o caminho dos ficheiros para garantir que as operações de eliminação se limitam ao diretório de uploads do WordPress.
Atualize agora: um risco a não ignorar
Apesar de a versão corrigida já contar com mais de 200.000 downloads, não é claro quantos dos 600.000 sites que usam o plugin permanecem vulneráveis. Se utiliza o Forminator no seu website, a recomendação é clara e urgente: atualize para a versão mais recente o mais rapidamente possível. Caso não o possa fazer de imediato, desative o plugin até que a atualização seja possível.
Até ao momento, não existem relatos de exploração ativa desta vulnerabilidade. No entanto, a divulgação pública dos detalhes técnicos, combinada com a relativa facilidade de exploração, aumenta significativamente o risco de agentes maliciosos começarem a procurar sites vulneráveis para atacar.
Nenhum comentário
Seja o primeiro!