El complemento Forminator de WordPress, utilizado por más de 600.000 sitios web, presenta una vulnerabilidad crítica que permite a actores no autenticados eliminar archivos arbitrarios del servidor, lo que puede llevar al compromiso total del sitio.
A continuación, se detalla la vulnerabilidad que está siendo aprovechada por los atacantes:
- CVE-2025-6463 — CVSS 8.8 (Alta): Esta vulnerabilidad radica en una validación insuficiente durante la gestión de los datos enviados mediante formularios. La función entry_delete_upload_files() permite especificar rutas arbitrarias, lo que posibilita la eliminación de elementos fuera del directorio de cargas de WordPress. Entre los objetivos potenciales se encuentran archivos críticos como wp-config.php, cuya eliminación podría forzar el reinicio del proceso de instalación de WordPress y facilitar una toma de control completa por parte de un atacante.
Versiones afectadas
Forminator – versiones anteriores hasta 1.44.2
Solución
Actualizar a versión 1.44.3
Recomendaciones:
- Aplicar la actualización de seguridad a la versión 1.44.3 o superior del complemento Forminator.
- Revisar los registros del sistema y los formularios recientes en busca de indicios de intentos de explotación.
- Configurar sistemas de detección de cambios en archivos y fortalecer la seguridad mediante WAF u otras herramientas de monitoreo.
- Establecer y verificar políticas de respaldo y recuperación ante incidentes para garantizar la restauración de archivos críticos.
Referencias: