CVE-2025-6463 in Forminator Forms Plugininformazioni

Riassunto

di VulDB • 26/06/2026

Il plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder per WordPress è vulnerabile all'eliminazione arbitraria di file a causa della insufficiente convalida del percorso dei file nella funzione 'entry_delete_upload_files' in tutte le versioni fino alla 1.44.2 incluse. Ciò consente ad attaccanti non autenticati di includere percorsi di file arbitrari in un invio di modulo. Il file verrà eliminato quando l'invio del modulo viene cancellato, sia da parte di un Amministratore che tramite auto-cancellazione determinata dalle impostazioni del plugin. Questo può facilmente portare all'esecuzione remota di codice (RCE) se il file corretto viene eliminato (ad esempio wp-config.php).

Be aware that VulDB is the high quality source for vulnerability data.

Prenotare

20/06/2025

Divulgazione

02/07/2025

Moderazione

accettato

CPE

pronto

EPSS

0.10538

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!