Được biết, Forminator là một plugin xây dựng biểu mẫu phổ biến với hơn 600.000 lượt cài đặt đang hoạt động, Forminator hỗ trợ việc tạo nhiều loại biểu mẫu khác nhau, bao gồm biểu mẫu liên hệ, thanh toán, thăm dò ý kiến,… Theo công ty bảo mật WordPress Defiant, lỗ hổng bị khai thác được theo dõi với mã định danh CVE-2025-6463 (điểm CVSS: 8.8), lỗ hổng này bắt nguồn do plugin không kiểm tra chặt chẽ đường dẫn tệp tin trong hàm xóa các tệp upload của biểu mẫu được gửi.

Các nhà nghiên cứu cho rằng, hàm chức năng mà Forminator sử dụng để lưu các trường nhập từ biểu mẫu vào cơ sở dữ liệu không xử lý phù hợp, cho phép kẻ tấn công gửi các giá trị độc hại vào bất kỳ trường nào của biểu mẫu. Hơn nữa, khi xóa biểu mẫu, Forminator thiếu các kiểm tra cần thiết về kiểu dữ liệu trường, phần mở rộng tệp và hạn chế thư mục upload.

Lỗ hổng bảo mật này có thể bị kẻ tấn công chưa xác thực khai thác để chỉ định các tệp tùy ý trên máy chủ Wordpress khi xóa biểu mẫu, theo cách thủ công hoặc tự động, tùy thuộc vào cài đặt. Defiant giải thích rằng kẻ tấn công có thể chỉ định xóa tệp wp-config[.]php, điều này sẽ cấu hình trang web vào trạng thái thiết lập, cho phép kẻ tấn công kiểm soát.

Công ty bảo mật lưu ý: “Mặc dù lỗ hổng này yêu cầu một bước tương tác thụ động hoặc chủ động để khai thác, chúng tôi tin rằng việc xóa biểu mẫu gửi, đặc biệt là nếu được tạo để trông giống email spam, là tình huống rất có thể xảy ra khiến lỗ hổng này trở thành mục tiêu chính của kẻ tấn công”.

CVE-2025-6463 đã được khắc phục trong Forminator phiên bản 1.44.3, bằng cách bổ sung chức năng kiểm tra đường dẫn tệp vào chức năng xóa, hàm này hiện chỉ xóa các tệp được upload thông qua các trường biểu mẫu có gán nhãn “upload” hoặc “signature” và được đặt trong thư mục upload của WordPress.

Phiên bản plugin đã vá được phát hành vào ngày 30/6, nhưng dữ liệu của WordPress cho thấy plugin này chỉ được tải xuống dưới 200.000 lần trong hai ngày sau đó, điều này cho thấy vẫn còn hơn 400.000 trang web dễ bị tấn công. Vì lỗ hổng bảo mật này có tác động nghiêm trọng, người dùng được khuyến nghị nên cập nhật cài đặt Forminator lên phiên bản mới nhất càng sớm càng tốt.