آسیب پذیری در افزونه Forminator Forms

یک نقص امنیتی سطح بالا در افزونه محبوب وردپرسی Forminator Forms مشاهده شده است که بیش از ۶۰۰۰۰۰ وب‌سایت در سراسر جهان را در معرض خطر هک از راه دور قرار داده است. این آسیب‌پذیری که با شناسه CVE-2025-6463 شناخته می‌شود و در مقیاس CVSS رتبه ۸.۸ (بالا) را کسب کرده است، به مهاجمان غیرمجاز اجازه می‌دهد تا فایل‌های دلخواه را از سرورهای آسیب‌دیده حذف کنند – که به طور بالقوه منجر به در معرض خطر قرار گرفتن کامل سایت می‌شود.

بیش از ۶۰۰ هزار سایت وردپرسی به دلیل آسیب‌پذیری افزونه Forminator Forms در معرض خطر قرار دارند.

نحوه‌ی عملکرد آسیب‌پذیری Forminator Forms

این نقص در تمام نسخه‌های Forminator تا نسخه ۱.۴۴.۲ آن وجود دارد. این نقص ناشی از اعتبارسنجی ناکافی در مدیریت افزونه در حذف فایل‌ها در طول پردازش ارسال فرم است. مهاجمان می‌توانند یک فرم ارسالی حاوی مسیر فایل مخرب ایجاد کنند؛ هنگامی که فرم ارسالی حذف می‌شود – چه به صورت دستی توسط مدیر و چه به صورت خودکار توسط تنظیمات افزونه – فایل ارجاع شده نیز حذف می‌گردد.

اطلاعاتی کلی درمورد آسیب پذیری Forminator Forms

• شناسه CVE-CVE-2025-6463
• نام افزونه Forminator Forms – فرم تماس، فرم پرداخت و سازنده فرم سفارشی
• نسخه‌های آسیب‌پذیر <= 1.44.2
• نوع آسیب‌پذیری: حذف خودسرانه فایل بدون احراز هویت
• امتیاز CVSS: 8.8 (بالا)

این در حالیست که درسال 2023 هم این افزونه هک شد و در آن زمان مقیاس CVSS رتبه 9.8 (بسیار بالا) را کسب کرده بود!

اما نگرانی اصلی، توانایی هدف قرار دادن فایل‌های حیاتی مانند wp-config.php است. حذف این فایل پیکربندی، وردپرس را مجبور به رفتن به حالت راه‌اندازی می‌کند و به مهاجم این امکان را می‌دهد که سایت را به پایگاه داده‌ای تحت کنترل خود متصل کند و به طور بالقوه کنترل کامل سایت را به دست گیرد. این آسیب‌پذیری به مهاجمان این امکان را می‌دهد که مسیرهای دلخواه فایل را در یک فرم ارسالی مشخص کنند و با حذف فرم ارسالی، فایل حذف می‌شود.

جزئیات فنی

این آسیب‌پذیری در تابع entry_delete_upload_files() قرار داشت که نتوانست حذف فایل‌ها را به فیلدهای آپلود مجاز یا فایل‌های درون دایرکتوری آپلود وردپرس محدود کند.

این وصله اکنون تضمین می‌کند که فقط فایل‌های آپلود شده از طریق فیلدهای تعیین شده «upload» یا «signature» می‌توانند حذف شوند، و فقط در صورتی که در دایرکتوری آپلود قرار داشته باشند. نام فایل‌ها نیز پاکسازی و مسیرها نرمال‌سازی می‌شوند تا از سوءاستفاده جلوگیری شود.

آنچه صاحبان سایت باید انجام دهند

• Forminator Forms را فوراً به نسخه ۱.۴۴.۳ یا بالاتر به‌روزرسانی کنید.
• تنظیمات ارسال و حذف فرم را برای فعالیت‌های مشکوک بررسی کنید.
• تغییرات سیستم فایل را زیر نظر داشته باشید و افزونه‌های امنیتی مانند Wordfence را پیاده‌سازی کنید.
• از فایل‌های مهم سایت پشتیبان تهیه کنید.

توجه: 

به دلیل به سادگی حمله و احتمال به خطر افتادن کامل سایت، از مدیران درخواست می‌شود بدون تأخیر اقدام کنند. این حادثه اهمیت مدیریت پیشگیرانه افزونه‌ها و اقدامات امنیتی قوی در اکوسیستم وردپرس را برجسته می‌کند.