Se ha descubierto una vulnerabilidad de severidad alta en el complemento Forminator para WordPress. Esta podría permitir a un actor malicioso la eliminación arbitraria de archivos en los sistemas afectados.
Productos afectados
- Forminator, versión 1.44.2 y anteriores.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-6463: con una puntuación de 8.8 en CVSS v3.1. El complemento es vulnerable a la eliminación arbitraria de archivos debido a una validación insuficiente de la ruta de archivo. Esto podría provocar fácilmente la ejecución remota de código al eliminar el archivo correcto, cuando un actor malicioso no autenticado incluya rutas de archivo arbitrarias en el envío de un formulario.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-6463
- https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/forminator/forminator-forms-contact-form-payment-form-custom-form-builder-1442-unauthenticated-arbitrary-file-deletion-triggered-via-administrator-form-submission-deletion