Popüler Forminator WordPress eklentisinde, dünya çapında 600.000’den fazla aktif kurulumu etkileyen ciddi bir keyfi dosya silme güvenlik açığı keşfedilmiştir.
8.8 yüksek CVSS derecesine sahip CVE-2025-6463 atanan güvenlik açığı, kimlik doğrulanmamış saldırganların WP-Config.php dahil kritik sistem dosyalarını silmesine izin verir ve potansiyel olarak site devralma ve uzaktan kod yürütülmesine yol açar.
Summary
1. Forminator plugin has an arbitrary file deletion vulnerability (CVE-2025-6463, CVSS 8.8) allowing unauthenticated attacks.
2. Malicious form submissions with arbitrary file paths delete specified files when submissions are removed by admins or auto-deletion.
3. Can delete wp-config.php, forcing the site into setup mode, enabling complete takeover and remote code execution.
4. Update immediately to version 1.44.3 - all versions ≤1.44.2 are vulnerable.
Güvenlik Araştırmacısı Phat Rio – Bluerock, bu kusuru WordFence’ın Bug Bounty programı aracılığıyla keşfetti ve sorumlu bir şekilde açıkladı ve bugüne kadar verilen en yüksek 8.100 dolarlık ödül kazandı.
Dosya silme güvenlik açığı
Güvenlik açığı başlangıçta 20 Haziran 2025’te Forminator’ın 1.44.2 sürümüne kadar tüm sürümlerini etkileyen bildirildi.
Forminator, kullanıcıların sezgisel bir sürükle ve bırak arayüzü aracılığıyla iletişim formları, ödeme formları, sınavlar ve anketler oluşturmalarını sağlayan yaygın olarak kullanılan bir WordPress form oluşturucu eklentisidir.
Güvenlik kusuru, gönderme silme işlemlerini işleyen giriş_delete_upload_files () işlevindeki yetersiz dosya yolu doğrulamasından kaynaklanır.
Bu kırılganlığı özellikle tehlikeli kılan şey, kimlik doğrulanmamış sömürü potansiyelidir.
Saldırganlar, keyfi dosya yolları içeren kötü niyetli form gönderimleri oluşturabilir ve bu gönderimler – yöneticiler tarafından veya eklenti ayarları aracılığıyla manuel olarak veya otomatik olarak belirtilen dosyalar sunucudan kalıcı olarak kaldırılır.
En kritik saldırı senaryosu, veritabanı kimlik bilgileri ve güvenlik anahtarları içeren wp-config.php dosyasının silinmesini içerir.
Bu dosya kaldırıldığında, WordPress bir kurulum durumuna girer ve saldırganların siteyi kontrolleri altında bir veritabanı ile yapılandırmasına ve tam site uzlaşmasına etkili bir şekilde ulaşmasına izin verir.
Teknik detaylar, forminator_cform_front_action sınıfındaki Save_entry_fields () işlevinde güvenlik açığının bulunduğunu, form alanı değerlerinde yeterli dezenfektan gerçekleştiremediğini ortaya koyuyor.
Forminator_form_entry_model sınıfındaki set_fields () işlevi, serileştirilmiş meta verileri doğrudan veritabanında doğrulama olmadan saklar. Bu, saldırganların dosya yüklemelerini kabul etmek için tasarlanmamış olanlar bile herhangi bir form alanında dosya dizileri göndermelerine olanak tanır.
Temel sorun, giriş_delete_upload_files () işlevinin uygun güvenlik kontrollerinin eksikliğinde yatmaktadır.
Savunmasız kod, alan türlerini, dosya uzantılarını doğrulamadan veya dizin kısıtlamalarını yüklemeden bir dosya dizi yapısıyla eşleşen tüm meta veri değerlerini işler.
İşlev, dosyaları kaldırmak için wp_delete_file ($ yol) kullanır ve sunucudaki herhangi bir dosyayı Web sunucusu işleminin silme izinleri olduğu herhangi bir dosyayı hedeflemeyi mümkün kılar.
Saldırganlar, ../../../wp-config.php veya diğer kritik sistem dosyaları gibi hazırlanmış dosya yolu değerleriyle formlar göndererek bunu kullanabilir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Forminatör Formları – WordPress için İletişim Formu, Ödeme Formu ve Özel Form Oluşturucu eklentisi, Tüm Sürümler ≤ 1.44.2 |
| Darbe | Keyfi dosya silme |
| Önkoşuldan istismar | – Hedef Site-Form Gönderme Yeteneğinde Yoksul Ekselsiz Aktif Forminatör Formu- Yönetici Silinmesi veya Gönderimlerin Otomatik Düzenlenmesi |
| CVSS 3.1 puanı | 8.8 (Yüksek) |
Hafifletme
Eklenti geliştiricisi WPMU Dev, güvenlik açığı açıklamasına derhal yanıt verdi ve 30 Haziran 2025’te 1.44.3 sürümünde kapsamlı bir yama yayınladı.
Yama, alan türü doğrulaması, yalnızca ‘yükleme’ ve ‘imza’ alan türleri ile dosya silme işlemini kısıtlama ve wp_normalite_path () ve realPath () işlevlerini kullanarak yükleme dizin yolu kısıtlamalarını uygulama gibi birden çok güvenlik katmanı uygular.
Yamalı kod artık WordPress Yükleme Dizini’nde dosya yollarının kalmasını sağlamak için STRPOS () doğrulama içeriyor ve dizin geçiş saldırılarını önlüyor.
Ek olarak, düzeltme, silinmeden önce dosya baseAn adlarını doğrulamak için sendize_file_name () kontrollerini içerir.
WordPress yöneticileri, bu kritik güvenlik açığının potansiyel olarak kullanılmasını önlemek için hemen 1.44.3 sürümüne güncellemeleri şiddetle tavsiye edilir.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt