
Tým Wordfence upozornil na závažnou zranitelnost ve WordPress pluginu Forminator
Bezpečnostní tým Wordfence upozornil na závažnou zranitelnost ve WordPress pluginu Forminator, která ohrožuje více než 600 000 webů.
3. července 2025
Útočníci mohou bez autentizace zadat cestu k libovolnému souboru do formuláře a tento soubor bude smazán při odstranění formulářového záznamu. To může vést k vymazání klíčových souborů, jako je wp-config.php, což umožňuje vzdálené spuštění kódu a potenciální převzetí webu.
Zranitelnost byla objevena 20. června 2025 a byla zařazena pod identifikátor CVE-2025-6463 s hodnocením závažnosti 8.8 (vysoké). Útočníci mohou zneužít nedostatečnou validaci cest souborů ve funkci entry_delete_upload_files(), která je zodpovědná za mazání nahraných souborů při odstranění formulářového záznamu. Funkce neprovádí kontrolu typu pole, přípony souboru ani omezení na adresář nahrávání, což umožňuje útočníkům specifikovat libovolné soubory na serveru, včetně wp-config.php.
Zranitelnost byla zodpovědně nahlášena výzkumníkem Phatem RiO – BlueRock, který za tento objev obdržel odměnu ve výši 8 100 USD, což je dosud nejvyšší odměna vyplacená prostřednictvím programu Bug Bounty společnosti Wordfence.
Vývojáři pluginu Forminator reagovali svižně a vydali opravenou verzi 1.44.3 dne 30. června 2025. Uživatelům se doporučuje co nejdříve aktualizovat na tuto verzi, aby ochránili své weby před potenciálním zneužitím.
Pro více informací a technickou analýzu navštivte původní článek na blogu Wordfence: 600,000 WordPress Sites Affected by Arbitrary File Deletion Vulnerability in Forminator WordPress Plugin
Nejpopulárnější domény
Novinky a informace
Nový Debian 13 „Trixie“ už nyní na VPS ZonerCloudu
Září přináší nové domény – YOU, FAST a TALK!
Kvalita dat držitelů domén: proč na ní záleží
Upozornění na podvodné e-maily
Doména .EU zdarma k nové registraci .SE nebo .NU!
Konec bezpečnostních aktualizací pro starší verze WordPressu
Vy relaxujete, my kódujeme – web na míru se slevou 50 %
ICANN83 Policy Forum v Praze: Budoucnost internetu se utváří v srdci Evropy
Rok informatiky 2025: Klíčové setkání pro digitalizaci veřejné správy
První v ČR: ZonerCloud nasazuje NVIDIA RTX PRO 6000 Blackwell – Předobjednávky spuštěny!