Uma grave vulnerabilidade foi descoberta no plugin Forminator, amplamente utilizado em sites WordPress para criar formulários de contato, enquetes e checkouts. A falha permite que invasores não autenticados removam qualquer arquivo do servidor, incluindo arquivos essenciais como o wp-config.php, o que pode levar ao controle total do site
Entendendo a vulnerabilidade
A falha, identificada como CVE‑2025‑6463 e classificada como nível alto com pontuação CVSS 8.8, reside na função responsável pela exclusão de arquivos enviados em formulários. O plugin não faz validações apropriadas dos caminhos de arquivos, permitindo que qualquer pessoa envie referências maliciosas — mesmo por campos que não aceitam uploads. Quando o formulário é deletado — manual ou automaticamente — o conteúdo desses caminhos é removido, sem restrições
Impacto direto nos sites
Com mais de 600 000 instalações ativas do Forminator, a escala da falha é alarmante
Se um invasor conseguir submissão manipulado, pode forçar a exclusão do wp-config.php, empurrando o site WordPress para um estado de configuração inicial. Nessa condição, o atacante pode configurar uma nova conexão de banco de dados e tomar controle completo do site
Linha do tempo e resposta emergencial
20 de junho de 2025: descobridor Phat RiO – BlueRock relata a falha através do Bug Bounty da Wordfence e recebe recompensa recorde de US$ 8.100
30 de junho de 2025: a equipe do Forminator lança a versão 1.44.3, incluindo validações adequadas para arquivo e caminho de pasta — agora limitadas apenas a uploads legítimos no diretório padrão de mídia
Situação atual e recomendação
Mesmo após o lançamento da correção, dados indicam cerca de 200.000 downloads do patch, sugerindo que aproximadamente 400.000 sites seguem vulneráveis
Apesar de ainda não haver confirmação de ataques em larga escala, a facilidade de exploração torna o risco iminente.
O que fazer imediatamente:
Atualize o plugin Forminator para a versão 1.44.3 ou superior.
Revise configurações que permitam envio ou exclusão automática de formulários.
Monitore suas pastas de mídia consultando logs por exclusões inesperadas.
Considere desativar a funcionalidade de formulários enquanto a atualização não for aplicada.
Use ferramentas de segurança como firewall ou plugins detectores de comportamento suspeito.
Conclusão
A falha no Forminator revela como uma falha simples de validação pode causar danos drásticos: exclusão de arquivos críticos e tomada de controle de sites WordPress. Sites com formulários ativos e registro de usuários estão particularmente expostos.
Para evitar esse tipo de ameaça, a atualização imediata do plugin é indispensável. Esse incidente serve como alerta: em ambientes web, uma vulnerabilidade em um plugin pode ser suficiente para comprometer toda a operação digital.
