行业新闻与博客

广泛使用的 Forminator WordPress 插件中存在一个严重漏洞，导致网站面临任意文件删除和潜在网站被接管的风险。

该漏洞影响版本 1.44.2 及更高版本，允许未经身份验证的用户在表单提交中包含任意文件路径。表单提交本身被删除后，这些文件也会被删除（由管理员手动删除或通过插件设置自动删除）。

该漏洞编号为 CVE-2025-6463，由安全研究员 Phat RiO、BlueRock 发现，并通过 Wordfence Bug Bounty 计划报告。 

通过在普通字段（例如姓名输入框）中提交伪装的文件路径，攻击者可以攻击关键配置文件，包括 wp-config.php。删除此文件后，WordPress 网站将进入设置模式，攻击者可以通过将网站连接到他们控制的数据库来劫持该网站。这可能导致整个网站被入侵并执行远程代码。

从技术上讲，该漏洞源于插件代码中的两个有缺陷的组件。

首先，保存表单条目的功能缺乏输入清理，允许攻击者在意想不到的字段中提交文件数组。

其次，删除逻辑未能验证文件类型、扩展名或上传目录，如果文件是文件数组形式，则会不加区分地删除文件。

供应商 WPMU DEV 在 2025 年 6 月 23 日联系后立即做出了回应。

6 月 25 日，Wordfence 漏洞管理门户网站注册后，Wordfence 收到了完整披露，并在五天后发布了补丁。该补丁引入了对允许字段类型的检查，并确保文件路径限制在 WordPress 上传目录中。

强烈建议用户立即更新至 Forminator 1.44.3 版本。此漏洞会影响所有安装了该插件的网站，无论表单配置如何。

虽然利用漏洞需要删除提交内容，但研究人员警告称，垃圾条目通常会成为删除的目标，这对攻击者来说是一个有吸引力的媒介。