Le plugin Forminator pour WordPress est vulnérable à une faille de suppression de fichier arbitraire non authentifiée qui pourrait permettre des attaques de prise de contrôle complète du site.
Le problème de sécurité est suivi sous la référence CVE-2025-6463 et a un impact de grande gravité (score CVSS 8.8). Cela affecte toutes les versions de Forminator jusqu’à 1.44.2.
Forminator Forms est un plugin développé par WPMU DEV. Il offre un générateur de glisser‑déposer visuel flexible pour aider les utilisateurs à créer et à intégrer un large éventail de contenus basés sur des formulaires sur des sites WordPress.
Selon les statistiques de WordPress.org, le plugin est actuellement actif sur plus de 600 000 sites Web.
La vulnérabilité provient d’une validation et d’une désinfection insuffisantes de la saisie des champs de formulaire et d’une logique de suppression de fichier non sécurisée dans le code principal du plugin.
Lorsqu’un utilisateur soumet un formulaire, la fonction’ save_entry_fields () ‘ enregistre toutes les valeurs de champ, y compris les chemins de fichier, sans vérifier si ces champs sont censés gérer les fichiers.
Un attaquant pourrait exploiter ce comportement pour insérer un tableau de fichiers contrefait dans n’importe quel champ, y compris des champs de texte, imitant un fichier téléchargé avec un chemin personnalisé qui pointe vers un fichier critique, tel que ‘/var/www/html/wp-config.php.’
Lorsque l’administrateur supprime ceci ou lorsque le plugin supprime automatiquement les anciennes soumissions (telles que configurées), Forminator efface le fichier WordPress principal, forçant le site Web à entrer dans une étape de « configuration » où il est vulnérable à la prise de contrôle.
« Suppression de wp-config.php force le site dans un état de configuration, permettant à un attaquant de lancer une prise de contrôle du site en le connectant à une base de données sous son contrôle”, explique Wordfence.
Découverte et patchage
CVE-20256463 a été découvert par le chercheur en sécurité ‘Phat RiO-BlueRock’ qui l’a signalé à Wordfence le 20 juin et a reçu une prime de bogue de 8 100$.
Après la validation interne de l’exploit, Wordfence a contacté WPMU DEV le 23 juin, qui a reconnu le rapport et a commencé à travailler sur un correctif.
Le 30 juin, le fournisseur a publié la version 1.44.3 de Forminator, qui ajoute une vérification du type de champ et une validation du chemin du fichier qui garantissent que les suppressions sont limitées au répertoire des téléchargements WordPress.
Depuis la publication du correctif, il y a eu 200 000 téléchargements, mais on ne sait pas combien sont actuellement vulnérables à l’exploitation CVE-2025-6463.
Si vous utilisez Forminator pour votre site Web, il est recommandé de le mettre à jour vers la dernière version ou de désactiver le plugin jusqu’à ce que vous puissiez passer à une version sécurisée.
À l’heure actuelle, il n’y a aucun rapport sur l’exploitation active de CVE-2025-6463, mais la divulgation publique des détails techniques combinés à la facilité d’exploitation pourrait amener les acteurs de la menace à explorer rapidement son potentiel dans les attaques.