Advertencia a propietarios de sitios web: actualicen Forminator urgentemente; de ​​lo contrario, podrían perderlo todo

Se ha descubierto una grave vulnerabilidad en el popular plugin Forminator para WordPress, que permite a los atacantes eliminar archivos arbitrarios en el sitio sin necesidad de autenticación. Este problema puede conducir potencialmente a la toma completa de los recursos. Ha recibido el identificador CVE-2025-6463 y está clasificado como crítico, con una puntuación de 8,8 en la escala CVSS.

Forminator Forms es un desarrollo de la empresa WPMU DEV. El plugin ofrece un constructor visual flexible que permite a los propietarios de sitios crear diferentes formularios e integrarlos en las páginas sin necesidad de programación. Según las estadísticas oficiales de WordPress.org, actualmente Forminator está activo en más de 600 mil sitios en todo el mundo.

La vulnerabilidad radica en la insuficiente validación y limpieza de los datos de entrada de los formularios, así como en una lógica insegura de eliminación de archivos dentro del código del servidor del plugin. La sección problemática del código está relacionada con la función «save_entry_fields()», que guarda los valores de todos los campos del formulario, incluidas las rutas de los archivos, sin comprobar si un campo específico está destinado a trabajar con archivos.

Los atacantes pueden aprovechar este comportamiento insertando en cualquier campo de texto del formulario un array de datos especial que imita un archivo cargado. En dicho array se puede especificar la ruta a un archivo crítico del sitio, como el archivo de configuración de WordPress — «/var/www/html/wp-config.php». Si posteriormente el administrador elimina este campo o se activa la eliminación automática de entradas antiguas, prevista en la configuración del plugin, el sistema eliminará físicamente el archivo especificado.

La eliminación del archivo de configuración de WordPress provoca que el sitio pase al modo de instalación inicial. En ese momento, un atacante puede conectar el recurso a su propia base de datos y así obtener el control total del sitio.

Como explica el equipo de seguridad de Wordfence, este mecanismo es lo que hace que la vulnerabilidad sea extremadamente peligrosa. Los expertos destacan que una explotación exitosa no solo daña los archivos, sino que expone por completo el sitio a una posible toma de control.

La vulnerabilidad fue descubierta por un investigador bajo el seudónimo Phat RiO de la empresa BlueRock, quien notificó a Wordfence el 20 de junio. Por la información proporcionada sobre el fallo, recibió una recompensa de 8100 dólares. Tras una verificación interna, los especialistas de Wordfence contactaron con el desarrollador del plugin, la empresa WPMU DEV, el 23 de junio. Los representantes de la empresa confirmaron la existencia del problema y comenzaron a solucionarlo.

El 30 de junio se lanzó una nueva versión de Forminator, la 1.44.3. En ella se añadió la verificación de los tipos de campos y la validación de las rutas de los archivos, lo que elimina la posibilidad de eliminar algo fuera del directorio de cargas de WordPress.

Desde el lanzamiento de la actualización, el plugin ha sido descargado más de 200 mil veces. Sin embargo, se desconoce la cantidad exacta de sitios que siguen siendo vulnerables a CVE-2025-6463.

Se recomienda encarecidamente a los usuarios que utilizan Forminator actualizar el plugin a la última versión lo antes posible o desactivarlo temporalmente hasta instalar una versión segura. Hasta el momento, no se han recibido informes sobre el uso activo de la vulnerabilidad por parte de atacantes. Sin embargo, la publicación de los detalles técnicos del fallo y la relativa facilidad de su explotación aumentan el riesgo de que los ataques comiencen en un futuro próximo.