Ferreira Manuel 
563
Há uma vulnerabilidade crítica no plug-in Forminator para WordPress, que pode permitir que invasores assumam o controlo de mais de 400 mil sites, informou esta semana a Defiant, empresa de cibersegurança responsável pelo plugin Wordfence usado para proteger sites WordPress.
“O plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder para WordPress é vulnerável à exclusão arbitrária de arquivos devido à validação insuficiente do caminho do arquivo na função ‘entry_delete_upload_files’ em todas as versões até a 1.44.2”, refere o alerta.
A falha é identificada como CVE-2025-6463 e recebeu pontuação CVSS de 8,8 (alta). Ela resulta de dois problemas combinados: a função que salva os campos no banco de dados não organiza correctamente os valores enviados, e a função que exclui os arquivos ignora validações de tipo de campo, extensão e localização do arquivo.
Segundo a Defiante, tal permite que qualquer campo de envio aceite e exclua arquivos do sistema, incluindo arquivos críticos como o wp-config.php, o que colocaria o site em modo de instalação e abriria caminho para ser controlado por invasores.
Embora a falha tenha sido corrigida na versão 1.44.3, lançada em 30 de Junho último, os dados do WordPress indicam que menos de 200 mil actualizações foram feitas desde a disponibilização do patch e mais de 400 mil sites continuam vulneráveis.
