行業新聞與博客

廣泛使用的 Forminator WordPress 插件中存在一個嚴重漏洞，導致網站面臨任意文件刪除和潛在網站被接管的風險。

該漏洞影響版本 1.44.2 及更高版本，允許未經身份驗證的用户在表單提交中包含任意文件路徑。表單提交本身被刪除後，這些文件也會被刪除（由管理員手動刪除或通過插件設置自動刪除）。

該漏洞編號為 CVE-2025-6463，由安全研究員 Phat RiO、BlueRock 發現，並通過 Wordfence Bug Bounty 計劃報告。 

通過在普通字段（例如姓名輸入框）中提交偽裝的文件路徑，攻擊者可以攻擊關鍵配置文件，包括 wp-config.php。刪除此文件後，WordPress 網站將進入設置模式，攻擊者可以通過將網站連接到他們控制的數據庫來劫持該網站。這可能導致整個網站被入侵併執行遠程代碼。

從技術上講，該漏洞源於插件代碼中的兩個有缺陷的組件。

首先，保存表單條目的功能缺乏輸入清理，允許攻擊者在意想不到的字段中提交文件數組。

其次，刪除邏輯未能驗證文件類型、擴展名或上傳目錄，如果文件是文件數組形式，則會不加區分地刪除文件。

供應商 WPMU DEV 在 2025 年 6 月 23 日聯繫後立即做出了回應。

6 月 25 日，Wordfence 漏洞管理門户網站註冊後，Wordfence 收到了完整披露，並在五天後發佈了補丁。該補丁引入了對允許字段類型的檢查，並確保文件路徑限制在 WordPress 上傳目錄中。

強烈建議用户立即更新至 Forminator 1.44.3 版本。此漏洞會影響所有安裝了該插件的網站，無論表單配置如何。

雖然利用漏洞需要刪除提交內容，但研究人員警告稱，垃圾條目通常會成為刪除的目標，這對攻擊者來説是一個有吸引力的媒介。