Teljes átvétel néhány kattintással
Amikor a Forminator automatikusan törli a régi beküldött űrlapokat, vagy az adminisztrátor teszi ezt manuálisan, előfordulhat, hogy éppen a WordPress alapvető wp-config.php fájlja kerül törlésre. Ezzel a honlap leáll, és telepítésre váró üzemmódba kerül, ahol egy támadó könnyedén a saját adatbázisához kapcsolhatja az oldalt, teljesen átvéve az irányítást.
Felfedezés, javítás és védekezés
A hibát egy biztonsági szakértő, Phat RiO BlueRock fedezte fel, és 2 920 000 forinttal jutalmazták. A fejlesztők egy héten belül, 2024. június 30-án adták ki az 1.44.3-as verziót, amely már ellenőrzi a mezők típusát, és a törlés során már csak a biztonságos, az uploads mappában lévő fájlokat érinti.
Azóta 200 ezren frissítették a plugint, de sok oldal még mindig sebezhető a jól ismert és könnyen kihasználható hiba miatt. Ha használod a Forminatort, haladéktalanul frissítsd, vagy kapcsold ki, amíg nem tudod biztonságosan frissíteni. Jelenleg nincs információ arról, hogy aktívan kihasználnák a hibát, de mivel a részletek már nyilvánosak, bármikor megkezdődhetnek a támadások. Az egyszerű trükkök még ma is működnek, ha az üzemeltető nincs résen.
