Kritikus sebezhetőség a Forminator WordPress bővítményben


tegnap 13:54

2025 júniusában komoly biztonsági riasztást adtak ki a Wordfence kutatói és más, független szakértők a népszerű Forminator WordPress-bővítménnyel kapcsolatban. A sebezhetőség – amely a CVE-2025-6463 azonosítót kapta – több mint 600 000 aktív weboldalt érint világszerte, és lehetővé teszi, hogy hitelesítés nélküli támadók tetszőleges fájlokat töröljenek a szerveren. A hibát 8.8-as (magas) CVSS pontszámmal minősítették, és a potenciális következmények között szerepel a teljes weboldal átvétele és távoli kódfuttatás lehetősége is.

A sebezhetőség működése – egyszerű, de végzetes

A hiba a Forminator bővítmény 1.44.2-es és az annál korábbi verzióit érinti. A probléma a nem megfelelő adatellenőrzésből ered a fájltörlés folyamatánál, amely a beküldött űrlapok feldolgozása során történik.

Hogyan támadható a rendszer?

  1. A támadó elküld egy űrlapot, amelyben manipulált fájlelérési útvonalat ad meg.
  2. Amikor az adminisztrátor vagy a bővítmény automatikusan törli az űrlapbeküldést, a hivatkozott fájl is törlésre kerül – függetlenül annak típusától vagy helyétől.
  3. Ez lehetővé teszi kritikus rendszerfájlok (pl. wp-config.php) törlését is.

A wp-config.php törlésével a WordPress „setup mode”-ba kerül, így a támadó képes lehet saját adatbázishoz csatlakoztatni a weboldalt – teljes átvételt eredményezve.

Technikai részletek

  • Érintett függvény: entry_delete_upload_files()
  • Hiba oka: Nem ellenőrzi, hogy a fájl valóban egy érvényes űrlapfeltöltésből származik-e, illetve nem korlátozta a törlést az uploads könyvtárra.
  • Javított verzió: 1.44.3
  • Javítás lényege:
    • Csak az upload és signature mezőkben feltöltött fájlokat lehet törölni.
    • Csak az uploads könyvtáron belül engedélyezett a fájlkezelés.
    • Fájlnév normalizálás és útvonal-ellenőrzés került bevezetésre.

Felfedezés és reagálás

A sebezhetőséget a Phat RiO – BlueRock nevű kutató azonosította, aki a $8 100 dolláros jutalommal járó bejelentést a Wordfence Bug Bounty Programon keresztül tette meg – ez eddig a program történetének legnagyobb összege.

A bővítményt fejlesztő WPMU DEV gyorsan reagált, és 2025. június 30-án kiadta a javított verziót (1.44.3). A Wordfence tűzfal prémium felhasználói június 26-tól kapták meg az automatikus védelmet, az ingyenes felhasználók július 26-án kapják meg ugyanezt a frissítést.

Mit tegyenek a weboldal-tulajdonosok és adminisztrátorok?

A sebezhetőség azonnali beavatkozást igényel. Az alábbi lépéseket minden érintett weboldal esetében javasolt elvégezni:

  1. Frissítés
    • Azonnal frissítse a Forminator bővítményt legalább 1.44.3-as verzióra!
  1. Ellenőrzés
    • Vizsgálja meg az űrlapbeküldési és törlési naplókat gyanús aktivitás után kutatva!
    • Nézze át a wp-config.php és más kritikus fájlok meglétét és módosítási idejét!
  1. Megelőző lépések
    • Használjon fájlrendszer-figyelő eszközöket a jogosulatlan törlések és módosítások észlelésére!
    • Alkalmazzon biztonsági bővítményeket, például Wordfence vagy Sucuri!
  1. Mentések és visszaállítás
    • Készítsen rendszeresen biztonsági mentést!
    • Tesztelje, hogy a mentésekből való helyreállítás valóban működőképes-e!

Tanulságok: miért fontos a proaktív plugin menedzsment?

Ez az eset újra rámutat a WordPress ökoszisztéma egyik legnagyobb kihívására: a bővítmények sebezhetőségeire. A Forminator egy megbízhatónak tartott, széles körben használt eszköz – mégis elég volt egy logikai hiba ahhoz, hogy százezrek weboldala váljon sebezhetővé.

A megelőzés legfontosabb elemei:

  • Automatikus frissítések engedélyezése
  • Kockázatos pluginok kerülése
  • Rendszeres auditálás és naplóelemzés
  • Biztonságtudatos weboldalkezelés

 

(gbhackers.com)

Címkék

WordPress WordPress plugin bővítmény Malware adathalászat

Kapcsolódó tartalmak: