行業新聞與部落格

廣泛使用的 Forminator WordPress 外掛中存在一個嚴重漏洞，導致網站面臨任意檔案刪除和潛在網站被接管的風險。

該漏洞影響版本 1.44.2 及更高版本，允許未經身份驗證的使用者在表單提交中包含任意檔案路徑。表單提交本身被刪除後，這些檔案也會被刪除（由管理員手動刪除或透過外掛設定自動刪除）。

該漏洞編號為 CVE-2025-6463，由安全研究員 Phat RiO、BlueRock 發現，並透過 Wordfence Bug Bounty 計劃報告。 

透過在普通欄位（例如姓名輸入框）中提交偽裝的檔案路徑，攻擊者可以攻擊關鍵配置檔案，包括 wp-config.php。刪除此檔案後，WordPress 網站將進入設定模式，攻擊者可以透過將網站連線到他們控制的資料庫來劫持該網站。這可能導致整個網站被入侵併執行遠端程式碼。

從技術上講，該漏洞源於外掛程式碼中的兩個有缺陷的元件。

首先，儲存表單條目的功能缺乏輸入清理，允許攻擊者在意想不到的欄位中提交檔案陣列。

其次，刪除邏輯未能驗證檔案型別、擴充名或上傳目錄，如果檔案是檔案陣列形式，則會不加區分地刪除檔案。

供應商 WPMU DEV 在 2025 年 6 月 23 日聯絡後立即做出了回應。

6 月 25 日，Wordfence 漏洞管理入口網站註冊後，Wordfence 收到了完整披露，並在五天後釋出了補丁。該補丁引入了對允許欄位型別的檢查，並確保檔案路徑限制在 WordPress 上傳目錄中。

強烈建議使用者立即更新至 Forminator 1.44.3 版本。此漏洞會影響所有安裝了該外掛的網站，無論表單配置如何。

雖然利用漏洞需要刪除提交內容，但研究人員警告稱，垃圾條目通常會成為刪除的目標，這對攻擊者來說是一個有吸引力的媒介。