È stata scoperta una vulnerabilità nel plugin Forminator per WordPress che consente l’eliminazione non autorizzata di file arbitrari, il che potrebbe portare al controllo completo del sito vulnerabile. Al problema è stato assegnato l’identificatore CVE-2025-6463 (8,8 punti sulla scala CVSS) e riguarda tutte le versioni di Forminator fino alla 1.44.2. Il bug è stato scoperto da un ricercatore soprannominato Phat RiO – BlueRock, che lo ha segnalato a Wordfence il 20 giugno 2025. Lo specialista ha ricevuto una ricompensa di 8.100 dollari per aver scoperto questa vulnerabilità.
Forminator, creato da WPMU DEV, è un generatore di moduli di pagamento, moduli di contatto, moduli di feedback, moduli di quiz, moduli di sondaggio e questionari per siti WordPress. Il plugin utilizza una semplice funzionalità drag-and-drop e offre ampie possibilità di integrazione con terze parti. Secondo le statistiche di WordPress.org , il plugin è attualmente installato e attivo su 600.000 siti.
La vulnerabilità scoperta è correlata a una convalida e sanificazione degli input insufficienti, nonché a una logica di eliminazione dei file non sicura nel codice backend del plugin. Pertanto, quando un utente invia un modulo, la funzione save_entry_fields() salva tutti i valori dei campi, inclusi i percorsi dei file, senza verificare se questi campi debbano funzionare con i file.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Un aggressore può quindi sfruttare questo comportamento per iniettare un array di file appositamente creato in un campo qualsiasi (anche un campo di testo), simulando un file caricato con un percorso personalizzato, ad esempio puntando al file critico /var/www/html/wp-config.php.
Se l’amministratore elimina manualmente tale record (o se è abilitata l’eliminazione automatica dei vecchi record), Forminator cancellerà questo file di sistema di WordPress, dopodiché il sito entrerà in modalità di configurazione iniziale e diventerà vulnerabile agli attacchi. “Rimuovendo wp-config.php il sito entra in uno stato di configurazione che consente a un aggressore di avviare un’acquisizione del sito collegandolo a un database sotto il suo controllo”, spiega Wordfence.
Il 30 giugno, gli sviluppatori del plugin hanno rilasciato una versione patchata, la 1.44.3, che ha aggiunto un controllo per il tipo di campo e il percorso del file. Questo garantisce che le eliminazioni siano limitate alla sola directory di caricamento di WordPress. Da quando è stata rilasciata la patch, il plugin è stato scaricato circa 200.000 volte, ma non si sa quante installazioni siano ancora vulnerabili a CVE-2025-6463.
Si consiglia a tutti gli utenti di Forminator di aggiornare il prima possibile alla versione più recente o di disattivare il plugin finché la patch non sarà installata.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Vulnerabilità
Cybercrime
Cybercrime
Innovazione
Cybercrime