Menu Mobile
Voltar ao início do blog

Falha no plugin Forminator expõe sites WordPress a ataques de takeover

Segurança da Informação

Falha no plugin Forminator expõe sites WordPress a ataques de takeover

Uma vulnerabilidade grave no plugin Forminator do WordPress permite que invasores deletam arquivos críticos e tomem controle do site sem necessidade de login. A falha afeta versões até a 1.44.2 e a...

Resumo rápido

Uma vulnerabilidade grave no plugin Forminator do WordPress permite que invasores deletam arquivos críticos e tomem controle do site sem necessidade de login. A falha afeta versões até a 1.44.2 e a correção foi lançada na versão 1.44.3. É essencial atualizar o plugin imediatamente para evitar riscos.

Neste artigo você vai aprender:

  • O que é a vulnerabilidade do plugin Forminator.
  • Como a falha permite ataques de takeover.
  • Sinais de alerta para identificar se seu site está vulnerável.
  • Medidas imediatas para proteger seu site.
  • Boas práticas para prevenir futuras vulnerabilidades.

O que é a vulnerabilidade do plugin Forminator

Se você usa o plugin Forminator no WordPress, atenção: uma vulnerabilidade grave permite que invasores deletam arquivos críticos, como o wp-config.php, e assumam o controle do seu site sem necessidade de login.

A falha (CVE‑2025‑6463), com severidade alta (CVSS 8.8), afeta todas as versões até a 1.44.2 do Forminator, instalado em mais de 600.000 sites.

Como funciona

O problema está na função de remoção de arquivos de formulários submetidos: ela não valida corretamente o tipo ou o diretório do arquivo. Como resultado, um atacante pode inserir um “array de arquivo” malicioso em qualquer campo de formulário, mesmo que o campo não aceite uploads, e fazer o plugin deletar arquivos essenciais.

Sinais de alerta / Como identificar

Menos de 200.000 sites já atualizaram para a versão corrigida, o que indica que centenas de milhares ainda estão vulneráveis. Se você não atualizou o Forminator, seu site pode estar em risco.

O que fazer agora / Como se proteger

  1. Atualize imediatamente o Forminator para a versão 1.44.3 ou superior.
  2. Enquanto isso, desative o plugin para eliminar o risco.
  3. Reduza o uso de plugins e mantenha apenas os estritamente necessários.
  4. Realize backups frequentes e monitore modificações em arquivos críticos como wp-config.php.

Prevenção / Boas práticas

Essa falha reforça que plugins populares podem ser portas de entrada para invasões graves. A LC SEC ajuda sua empresa a proteger sites WordPress com auditorias, atualizações automáticas e monitoramento contínuo. Garanta sua tranquilidade digital agora mesmo.

Proteja seu site WordPress com a LC Sec

Visite lcsec.io e saiba como podemos ajudar você a evitar vulnerabilidades e manter seu site seguro.

Falar com especialista

Compartilhe nas redes sociais:

Você cuida da sua empresa, a LC Sec cuida da sua cibersegurança

conheça a lc sec

Conteúdos relacionados

30 de Julho de 2025

Falha em plugin do WordPress expõe 200 mil sites: veja como agir
21 de Novembro de 2025

Falha crítica no W3 Total Cache expõe sites WordPress: saiba se proteger
09 de Junho de 2025

Falha crítica na VPN da Check Point permite roubo de senhas