Se você usa o plugin Forminator no WordPress, atenção: uma vulnerabilidade grave permite invasores deletarem arquivos críticos, como o wp‑config.php, e assumirem o controle do seu site sem necessidade de login.
A falha (CVE‑2025‑6463), com severidade alta (CVSS 8.8), afeta todas as versões até a 1.44.2 do Forminator, instalado em mais de 600 000 sites. O problema está na função de remoção de arquivos de formulários submetidos: ela não valida corretamente o tipo ou o diretório do arquivo
Como resultado, um atacante pode inserir um “array de arquivo” malicioso num campo de formulário qualquer — mesmo que o campo não aceite uploads — e fazer o plugin deletar arquivos essenciais como “wp-config.php” quando a entrada for apagada, forçando o site a reconstrução e abrindo a porta para takeover.
A correção foi lançada em 30 de junho de 2025, na versão 1.44.3, que introduziu validações para garantir exclusão apenas de arquivos legítimos da pasta de uploads e apenas em campos apropriados. Porém, menos de 200 000 sites já atualizaram, o que indica que centenas de milhares ainda estão vulneráveis
Dica de prevenção
Atualize imediatamente o Forminator para a versão 1.44.3 ou superior.
Enquanto isso, desative o plugin para eliminar o risco.
Reduza o uso de plugins e mantenha apenas os estritamente necessários.
Realize backups frequentes e monitore modificações em arquivos críticos como wp‑config.php.
Essa falha reforça que plugins populares podem ser portas de entrada para invasões graves. A LC SEC ajuda sua empresa a proteger sites WordPress com auditorias, atualizações automáticas e monitoramento contínuo. Garanta sua tranquilidade digital agora mesmo. Visite: lcsec.io