Se ha descubierto una vulnerabilidad severa de eliminación de archivos arbitraria en el popular complemento de WordPress de Forminator, que afecta a más de 600,000 instalaciones activas en todo el mundo.
La vulnerabilidad, asignada a CVE-2025-6463 con una alta calificación de CVSS de 8.8, permite a los atacantes no autenticados eliminar archivos de sistema críticos, incluido WP-Config.php, lo que puede conducir a completar la adquisición del sitio y la ejecución de código remoto.
Resumen
1. El complemento de Forminator tiene una vulnerabilidad arbitraria de eliminación de archivos (CVE-2025-6463, CVSS 8.8) que permite ataques no autenticados.
2. Envíos de formularios maliciosos con rutas de archivos arbitrarias Eliminar archivos especificados cuando los administraciones son eliminadas por administradores o autos-Deletion.
3. Puede eliminar WP-Config.php, obligando al sitio al modo de configuración, habilitando la adquisición completa y la ejecución del código remoto.
4. Actualizar inmediatamente a la versión 1.44.3 – Todas las versiones ≤1.44.2 son vulnerables.
El investigador de seguridad Phat Rio – Bluerock descubrió y reveló responsablemente este defecto a través del programa de recompensas de errores de Wordfence, ganando la recompensa más alta de $ 8,100 otorgada hasta la fecha.
Vulnerabilidad de eliminación de archivos
La vulnerabilidad fue inicialmente reportado El 20 de junio de 2025, afectando todas las versiones de Forminator hasta la versión 1.44.2.
Forminator es un complemento de generador de formulario WordPress ampliamente utilizado que permite a los usuarios crear formularios de contacto, formularios de pago, cuestionarios y encuestas a través de una interfaz intuitiva de arrastrar y soltar.
La falla de seguridad proviene de la validación insuficiente de la ruta de archivo en la función Entry_Delete_upload_Files (), que procesa las deleciones de envío del formulario.
Lo que hace que esta vulnerabilidad sea particularmente peligrosa es su potencial para una explotación no autenticada.
Los atacantes pueden elaborar envíos de formularios maliciosos que contengan rutas de archivos arbitrarias, y cuando se eliminan estas presentaciones, ya sea manualmente por administradores o automáticamente a través de la configuración del complemento, los archivos especificados se eliminan permanentemente del servidor.
El escenario de ataque más crítico implica eliminar el archivo wp-config.php, que contiene credenciales de bases de datos y claves de seguridad.
Cuando se elimina este archivo, WordPress ingresa a un estado de configuración, lo que permite a los atacantes configurar el sitio con una base de datos bajo su control, logrando efectivamente el compromiso completo del sitio.
Los detalles técnicos revelan que la vulnerabilidad existe dentro de la función save_entry_fields () en la clase FormInator_CFORM_FRONT_ACTION, que no puede realizar una desinfección adecuada en los valores de campo de formulario.
La función llama set_fields () en la clase Forminator_Form_entry_Model, almacenando metadatos serializados directamente en la base de datos sin validación. Esto permite a los atacantes enviar matrices de archivos en cualquier campo de formulario, incluso aquellos que no están diseñados para aceptar cargas de archivos.
El problema central se encuentra en la falta de la función entry_delete_upload_files () de la función de las verificaciones de seguridad adecuadas.
El código vulnerable procesa todos los valores de metadatos que coinciden con una estructura de matriz de archivos sin verificar los tipos de campo, extensiones de archivos o restricciones de directorio de carga.
La función utiliza WP_DELETE_FILE ($ PATH) para eliminar archivos, lo que permite dirigir cualquier archivo en el servidor que el proceso del servidor web tiene permisos para eliminar.
Los atacantes pueden explotar esto enviando formularios con valores de ruta de archivo diseñado como ../../../wp-config.php u otros archivos de sistema crítico.
Risk FactorsDetailsAffected ProductsForminator Forms – Contact Form, Payment Form & Custom Form Builder plugin for WordPress, all versions ≤ 1.44.2ImpactArbitrary file deletionExploit Prerequisites– Unauthenticated access- Active Forminator form on target site- Form submission capability- Administrator deletion or auto-deletion of submissionsCVSS 3.1 Score8.8 (High)
Mitigaciones
WPMU Dev, el desarrollador de complementos, respondió rápidamente a la divulgación de vulnerabilidad y lanzó un parche integral en la versión 1.44.3 el 30 de junio de 2025.
El parche implementa múltiples capas de seguridad, incluida la validación de tipo de campo, restringir la eliminación de archivos solo a tipos de campo ‘cargar’ y ‘firma’ e implementar restricciones de ruta de directorio de carga utilizando funciones wp_normaly_path () y realPath ().
El código parcheado ahora incluye la validación de Strpos () para garantizar que las rutas de archivo permanezcan dentro del directorio de cargas de WordPress, evitando los ataques transversales del directorio.
Además, la solución incorpora las verificaciones de sanitize_file_name () para validar los archivos Basenames antes de la eliminación.
Se insta a los administradores de WordPress a actualizarse a la versión 1.44.3 inmediatamente para evitar la explotación potencial de esta vulnerabilidad crítica.
Alerta de seminario web exclusivo: aprovechar las innovaciones del procesador Intel® para la seguridad avanzada de API – Regístrese gratis
