A Forminator plugin kinyitja a WordPress oldal széfjét

A népszerű Forminator plugin súlyos sebezhetősége miatt több mint 600 ezer WordPress oldal van veszélyben. A hibát (CVE-2025-6463) az okozza, hogy nem ellenőrzi megfelelően a beküldött űrlapok mezőit: a mentéskor a save_entry_fields() funkció minden adatot, így a fájlok elérési útvonalát is, ellenőrzés nélkül tárolja. Emiatt a támadó nemcsak valódi fájlmezőkbe, hanem akár szöveges mezőbe is beírhat tetszőleges fájlnevet, például egy kritikus rendszerfájlt, mint a /var/www/html/wp-config.php.

Teljes átvétel néhány kattintással

Amikor a Forminator automatikusan törli a régi beküldött űrlapokat, vagy az adminisztrátor teszi ezt manuálisan, előfordulhat, hogy éppen a WordPress alapvető wp-config.php fájlja kerül törlésre. Ezzel a honlap leáll, és telepítésre váró üzemmódba kerül, ahol egy támadó könnyedén a saját adatbázisához kapcsolhatja az oldalt, teljesen átvéve az irányítást.

Felfedezés, javítás és védekezés

A hibát egy biztonsági szakértő, Phat RiO BlueRock fedezte fel, és 2 920 000 forinttal jutalmazták. A fejlesztők egy héten belül, 2024. június 30-án adták ki az 1.44.3-as verziót, amely már ellenőrzi a mezők típusát, és a törlés során már csak a biztonságos, az uploads mappában lévő fájlokat érinti.

Azóta 200 ezren frissítették a plugint, de sok oldal még mindig sebezhető a jól ismert és könnyen kihasználható hiba miatt. Ha használod a Forminatort, haladéktalanul frissítsd, vagy kapcsold ki, amíg nem tudod biztonságosan frissíteni. Jelenleg nincs információ arról, hogy aktívan kihasználnák a hibát, de mivel a részletek már nyilvánosak, bármikor megkezdődhetnek a támadások. Az egyszerű trükkök még ma is működnek, ha az üzemeltető nincs résen.

2025, adrienne, www.bleepingcomputer.com alapján