Uma vulnerabilidade grave no plugin Forminator do WordPress permite que invasores deletam arquivos críticos e tomem controle do site sem necessidade de login. A falha afeta versões até a 1.44.2 e a...
Uma vulnerabilidade grave no plugin Forminator do WordPress permite que invasores deletam arquivos críticos e tomem controle do site sem necessidade de login. A falha afeta versões até a 1.44.2 e a correção foi lançada na versão 1.44.3. É essencial atualizar o plugin imediatamente para evitar riscos.
Se você usa o plugin Forminator no WordPress, atenção: uma vulnerabilidade grave permite que invasores deletam arquivos críticos, como o wp-config.php, e assumam o controle do seu site sem necessidade de login.
A falha (CVE‑2025‑6463), com severidade alta (CVSS 8.8), afeta todas as versões até a 1.44.2 do Forminator, instalado em mais de 600.000 sites.
O problema está na função de remoção de arquivos de formulários submetidos: ela não valida corretamente o tipo ou o diretório do arquivo. Como resultado, um atacante pode inserir um “array de arquivo” malicioso em qualquer campo de formulário, mesmo que o campo não aceite uploads, e fazer o plugin deletar arquivos essenciais.
Menos de 200.000 sites já atualizaram para a versão corrigida, o que indica que centenas de milhares ainda estão vulneráveis. Se você não atualizou o Forminator, seu site pode estar em risco.
Essa falha reforça que plugins populares podem ser portas de entrada para invasões graves. A LC SEC ajuda sua empresa a proteger sites WordPress com auditorias, atualizações automáticas e monitoramento contínuo. Garanta sua tranquilidade digital agora mesmo.
Visite lcsec.io e saiba como podemos ajudar você a evitar vulnerabilidades e manter seu site seguro.