U popularnom WordPress dodatku Forminator, verzije do 1.44.2, otkrivena je kritična ranjivost koja omogućava brisanje proizvoljnih datoteka. Ova greška, označena kao CVE-2025-6463 sa visokom ocjenom CVSS od 8.8, potencijalno ugrožava više od 600.000 aktivnih instalacija širom svijeta, otvarajući mogućnost preuzimanja potpunog nadzora nad web lokacijom.
Neautentifikovani napadači mogu iskoristiti ovu ranjivost kako bi obrisali ključne sistemske datoteke, uključujući i osjetljivi fajl wp-config.php. Posljedica toga može biti prekid rada web lokacije i njeno preusmjeravanje na početni ekran za podešavanje, čime se napadačima otvara put za potpunu kontrolu i izvršavanje udaljenog koda.
Otkrivena ranjivost dozvoljava napadačima da pošalju lažne unose u formu, navodeći proizvoljne putanje do datoteka. Kada se ti unosi zatim uklone – bilo ručno od strane administratora ili automatski putem postavki dodatka – navedene datoteke bivaju trajno izbrisane sa servera. U najgorem scenariju, brisanjem datoteke wp-config.php, koja sadrži informacije za pristup bazi podataka i sigurnosne ključeve, napadač može preuzeti potpunu kontrolu nad web lokacijom.
Do ovog propusta dolazi uslijed nedovoljne provjere putanja do datoteka u funkciji entry_delete_upload_files(), koja se bavi brisanjem unosa u forme. Tehnički detalji ukazuju na problem u funkciji save_entry_fields() unutar klase Forminator_CForm_Front_Action, gdje se podaci meta-informacija pohranjuju u bazu podataka bez adekvatne provjere. To napadačima omogućava slanje polja sa podacima koji simuliraju datoteke, čak i u poljima koja inače ne podržavaju upload datoteka. Ključni problem je nedostatak sigurnosnih provjera u funkciji entry_delete_upload_files(), koja obrađuje sve vrijednosti meta-podataka koje odgovaraju strukturi datoteka, bez provjere tipa polja, ekstenzija datoteka ili ograničenja direktorija za upload. Funkcija koristi wp_delete_file() za brisanje datoteka, omogućavajući targetiranje bilo koje datoteke na serveru do koje proces web servera ima pristup.
Sigurnosni istraživač Phat RiO iz kompanije BlueRock otkrio je i odgovorno objavio ovaj nedostatak putem Wordfence programa za nagrade za pronalaženje grešaka, za što je dobio najveću dosad isplaćenu nagradu u iznosu od 8.100 dolara.
WPMU DEV, kreator dodatka, brzo je reagovao na objavu ranjivosti i izdao ispravku u verziji 1.44.3, 30. juna 2025. godine. Ova ispravka uvodi višestruke sigurnosne slojeve, uključujući provjeru tipa polja, ograničavanje brisanja datoteka samo na tipove polja ‘upload’ i ‘signature’, te primjenu ograničenja direktorija za upload koristeći funkcije wp_normalize_path() i realpath(). Zakrpa sada uključuje provjeru strpos() kako bi se osiguralo da putanje datoteka ostaju unutar direktorija za upload web lokacije, čime se sprječavaju napadi tipa “directory traversal”. Dodatno, ispravka uključuje provjere sanitize_file_name() za validaciju naziva datoteka prije brisanja.
Administratorima WordPress web lokacija snažno se preporučuje hitno ažuriranje na verziju 1.44.3 kako bi se spriječila potencijalna eksploatacija ove kritične ranjivosti.