WordPress用Forminatorプラグインに、認証されていない任意ファイル削除の脆弱性が存在し、これによりサイト全体の乗っ取り攻撃が可能となる恐れがあります。
このセキュリティ問題はCVE-2025-6463として追跡されており、高い深刻度(CVSS 8.8スコア)を持ちます。Forminatorのバージョン1.44.2までのすべてのバージョンが影響を受けます。
Forminator FormsはWPMU DEVによって開発されたプラグインです。ユーザーがWordPressサイト上でさまざまなフォームベースのコンテンツを作成・埋め込みできる柔軟なビジュアルドラッグ&ドロップビルダーを提供します。
WordPress.orgの統計によると、このプラグインは現在60万以上のウェブサイトで有効化されています。
この脆弱性は、フォームフィールド入力の検証とサニタイズが不十分であり、プラグインのバックエンドコードにおける安全でないファイル削除ロジックに起因しています。
ユーザーがフォームを送信すると、‘save_entry_fields()’関数は、ファイルを扱うべきでないフィールドも含め、すべてのフィールド値(ファイルパスを含む)をチェックせずに保存します。
攻撃者はこの挙動を悪用し、任意のフィールド(テキストフィールドも含む)に細工したファイル配列を挿入し、‘/var/www/html/wp-config.php’などの重要なファイルを指すカスタムパスを持つアップロードファイルを偽装できます。
管理者がこれを削除した場合や、プラグインが自動で古い送信内容を削除した場合(設定による)、ForminatorはWordPressのコアファイルを消去し、ウェブサイトを「セットアップ」段階に強制的に移行させ、乗っ取りに対して脆弱な状態にします。
「wp-config.phpを削除すると、サイトはセットアップ状態に入り、攻撃者が自分の管理下にあるデータベースに接続することでサイトの乗っ取りを開始できるようになります」とWordfenceは説明しています。
発見と修正
CVE-2025-6463は、セキュリティ研究者「Phat RiO – BlueRock」によって発見され、6月20日にWordfenceへ報告され、8,100ドルのバグ報奨金を受け取りました。
エクスプロイトの内部検証後、Wordfenceは6月23日にWPMU DEVへ連絡し、報告を受理したWPMU DEVは修正作業を開始しました。
6月30日、ベンダーはForminatorバージョン1.44.3をリリースし、フィールドタイプのチェックと、削除がWordPressのアップロードディレクトリ内に限定されるようファイルパスの検証を追加しました。
パッチリリース以降、20万件のダウンロードがありましたが、現在どれだけのサイトがCVE-2025-6463の悪用に対して脆弱なままかは不明です。
ご自身のウェブサイトでForminatorを使用している場合は、最新バージョンへのアップデート、または安全なバージョンに移行できるまでプラグインを無効化することを推奨します。
現時点ではCVE-2025-6463の積極的な悪用報告はありませんが、技術的詳細の公開と悪用の容易さが組み合わさることで、脅威アクターが迅速に攻撃に利用する可能性があります。
2025年の8つの一般的な脅威
クラウド攻撃はますます高度化していますが、攻撃者は驚くほど単純な手法でも成功しています。
Wizが数千の組織で検知したデータをもとに、このレポートではクラウドに精通した脅威アクターが使用する8つの主要な手法を明らかにします。