Se ha revelado una vulnerabilidad severa en el complemento Forminator WordPress ampliamente utilizado, exponiendo sitios web al riesgo de eliminación de archivos arbitraria y adquisición potencial del sitio. El defecto, que afecta a versiones de hasta 1.44.2, permite a los usuarios no autenticados incluir rutas de archivos arbitrarias en los envíos de formularios. Estos archivos se eliminan una vez que los administradores se eliminan manualmente el envío del formulario, ya sea manualmente o automáticamente a través de la configuración del complemento. La vulnerabilidad, rastreada como CVE-2025-6463, fue descubierta por el investigador de seguridad Phat Rio, Bluerock e informado a través del programa Wordfence Bug Bounty. Al enviar rutas de archivo disfrazadas dentro de los campos ordinarios, como una entrada de nombre, los atacantes podrían dirigirse a archivos de configuración críticos, incluido WP-Config.php. Cuando se elimina este archivo, el sitio de WordPress ingresa al modo de configuración, lo que permite que un atacante secuestre el sitio conectándolo a una base de datos que controlan. Esto puede resultar en un compromiso completo del sitio y la ejecución de código remoto. Lea más sobre las amenazas de seguridad del complemento de WordPress: Nuevo malware de WordPress disfrazados de complemento técnicamente, la vulnerabilidad proviene de dos componentes defectuosos en el código del complemento. Primero, las entradas de formulario de ahorro de función carecían de desinfección de entrada, permitiendo a los atacantes enviar matrices de archivos en campos inesperados. En segundo lugar, la lógica de deleción no pudo validar los tipos de archivos, extensiones o directorios de carga, eliminando indiscriminadamente archivos si se estructuran como una matriz de archivos. El proveedor, WPMU Dev, respondió de inmediato después de ser contactado el 23 de junio de 2025. Tras el registro con el portal de gestión de vulnerabilidades de Wordfence el 25 de junio, recibieron una divulgación completa y emitieron un parche cinco días después. La solución introduce verificaciones para los tipos de campo permitidos y garantiza que las rutas de archivo estén restringidas al directorio de cargas de WordPress. Se insta a los usuarios a actualizar a Forminator la versión 1.44.3 de inmediato. Esta vulnerabilidad afecta a cualquier sitio con el complemento instalado, independientemente de cómo se configuren los formularios. Si bien la explotación requiere que se elimine la sumisión, los investigadores advierten que las entradas de spam a menudo están dirigidas a la eliminación, lo que hace que este sea un vector atractivo para los atacantes.