WordPress 表单插件高危漏洞威胁超60万网站安全
💡
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
热门WordPress表单插件Forminator存在严重的任意文件删除漏洞(CVE-2025-6463,CVSS 8.8),影响超过60万个站点。攻击者可删除关键文件如wp-config.php,导致网站被接管。建议立即升级至1.44.3版本以修复此漏洞。
🎯
关键要点
- 热门WordPress表单插件Forminator存在严重的任意文件删除漏洞(CVE-2025-6463,CVSS评分8.8),影响超过60万个站点。
- 该漏洞允许未认证攻击者删除关键系统文件,如wp-config.php,可能导致网站被接管。
- 建议立即升级至1.44.3版本以修复此漏洞,所有≤1.44.2版本均受影响。
- 漏洞源于entry_delete_upload_files()函数中的文件路径验证不足,攻击者可构造恶意表单提交。
- 最严重的攻击场景是删除wp-config.php文件,攻击者可通过控制数据库完全接管网站。
- 插件开发商WPMU DEV已在1.44.3版本中提供完整修复方案,实施了多重防护措施。
- 强烈建议所有WordPress管理员立即升级,以避免遭受此高危漏洞攻击。
❓
延伸问答
Forminator插件的漏洞是什么?
Forminator插件存在严重的任意文件删除漏洞(CVE-2025-6463),允许未认证攻击者删除关键系统文件,如wp-config.php。
这个漏洞影响了多少个网站?
该漏洞影响超过60万个活跃安装的WordPress网站。
如何修复Forminator插件的漏洞?
建议立即升级Forminator插件至1.44.3版本,以修复该漏洞。
攻击者如何利用这个漏洞?
攻击者可以构造恶意表单提交,利用漏洞删除任意文件,最严重的情况是删除wp-config.php文件,导致网站被接管。
这个漏洞的CVSS评分是多少?
该漏洞的CVSS评分为8.8,属于高危级别。
Forminator插件的漏洞是如何被发现的?
漏洞由安全研究员Phat RiO通过Wordfence漏洞赏金计划发现,并获得了8100美元的奖金。
🏷️
标签
➡️
