Forminator 插件漏洞使WordPress 网站面临攻击

研究人员近日发现WordPress的Forminator插件存在未经身份验证的任意文件删除漏洞，可能导致整个站点接管攻击。编号为CVE-2025-6463（8.8），影响 Forminator 1.44.2 及以上版本。该漏洞源于插件后端代码中对表单字段输入的验证和清理不足以及不安全的文件删除逻辑。当用户提交表单时，函数会保存所有字段值，包括文件路径，而不检查这些字段是否应该处理文件。攻击者可以利用此行为将精心设计的文件数组插入任何字段，模仿上传的文件，并使用指向关键文件的自定义路径。