WordPress için Forminatör eklentisi, tam site devralma saldırılarını sağlayabilecek kimlik doğrulanmamış keyfi bir dosya silme kusuruna karşı savunmasızdır.
Güvenlik sorunu CVE-2025-6463 olarak izlenir ve yüksek şiddetli bir etkiye sahiptir (CVSS 8.8 skoru). Forminatörün tüm sürümlerini 1.44.2’ye kadar etkiler.
Forminator Forms, WPMU Dev tarafından geliştirilen bir eklentidir. Kullanıcıların WordPress sitelerine çok çeşitli form tabanlı içerik oluşturmalarına ve yerleştirmelerine yardımcı olmak için esnek, görsel sürükleme ve doğrultma oluşturucu sunar.
WordPress.org istatistiklerine göre, eklenti şu anda 600.000’den fazla web sitesinde etkin.
Güvenlik açığı, eklentinin arka uç kodunda form alanı girişi ve güvenli olmayan dosya silme mantığının yetersiz doğrulanmasından ve dezenfektan hale getirilmesinden kaynaklanmaktadır.
Bir kullanıcı bir form gönderdiğinde, ‘save_entry_fields ()’ işlevi, bu alanların dosyaları kullanması gerekip gerekmediğini kontrol etmeden dosya yolları dahil tüm alan değerlerini kaydeder.
Bir saldırgan, metin alanları da dahil olmak üzere herhangi bir alana hazırlanmış bir dosya dizisi eklemek için bu davranışı kullanabilir, yüklenen bir dosyayı ‘/var/www/html/wp-config.php’ gibi kritik bir dosyaya işaret eden özel bir yolla taklit edebilir.
Yönetici bunu sildiğinde veya eklenti otomatik dümenleri eski gönderimleri (yapılandırıldığı gibi) sildiğinde, Forminator temel WordPress dosyasını silerek web sitesini devralmaya karşı savunmasız olduğu bir “kurulum” aşamasına girmeye zorlar.
WordFence, “WP-Config.php, siteyi bir kurulum durumuna zorlayarak bir saldırganın kontrolleri altındaki bir veritabanına bağlayarak bir site devralmasını başlatmasına izin vererek” diye açıklıyor WordFence.
Keşif ve yama
CVE-20256463, 20 Haziran’da WordFence’a bildiren ve 8.100 dolarlık bir hata ödülünü alan güvenlik araştırmacısı ‘Phat Rio-Bluerock’ tarafından keşfedildi.
İstismarın dahili validasyonunun ardından WordFence, 23 Haziran’da raporu kabul eden ve bir düzeltme üzerinde çalışmaya başlayan WPMU Dev ile temasa geçti.
30 Haziran’da satıcı, bir alan türü kontrolü ve silme işlemlerinin WordPress Yükleme dizini ile sınırlı olmasını sağlayan bir dosya yolu doğrulaması ekleyen FormInator 1.44.3 sürümünü yayınladı.
Yamanın piyasaya sürülmesinden bu yana 200.000 indirme yapıldı, ancak kaçının CVE-2025-6463 sömürüsüne karşı savunmasız olduğu belirsiz.
Web siteniz için Forminator kullanıyorsanız, en son sürüme güncellenmeniz veya güvenli bir sürüme geçene kadar eklentiyi devre dışı bırakmanız önerilir.
Şu anda, CVE-2025-6463’ün aktif sömürüsü hakkında herhangi bir rapor yoktur, ancak sömürü kolaylığı ile birlikte teknik detayların halka açıklanması, tehdit aktörlerinin saldırılardaki potansiyelini keşfetmeye hızlı bir şekilde hareket etmesine yol açabilir.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.