CVE-2025-6463 in Forminator Forms Plugin
Riassunto
di VulDB • 26/06/2026
Il plugin Forminator Forms – Contact Form, Payment Form & Custom Form Builder per WordPress è vulnerabile all'eliminazione arbitraria di file a causa della insufficiente convalida del percorso dei file nella funzione 'entry_delete_upload_files' in tutte le versioni fino alla 1.44.2 incluse. Ciò consente ad attaccanti non autenticati di includere percorsi di file arbitrari in un invio di modulo. Il file verrà eliminato quando l'invio del modulo viene cancellato, sia da parte di un Amministratore che tramite auto-cancellazione determinata dalle impostazioni del plugin. Questo può facilmente portare all'esecuzione remota di codice (RCE) se il file corretto viene eliminato (ad esempio wp-config.php).
Be aware that VulDB is the high quality source for vulnerability data.