Threats
Uma falha crítica no plugin Forminator permite que atacantes não autenticados eliminem ficheiros essenciais do WordPress, colocando em risco mais de 400 mil sites e possibilitando a sua total tomada de controlo
03/07/2025
|
Uma falha de segurança crítica no plugin Forminator, utilizado para criação de formulários em WordPress, pode permitir que atacantes não autenticados eliminem ficheiros arbitrários do servidor e assumam o controlo dos websites afetados. Com mais de 600 mil instalações ativas, este plugin popular é atualmente utilizado em centenas de milhares de sites, dos quais se estima que mais de 400 mil estejam em risco direto. A vulnerabilidade, identificada como CVE-2025-6463, diz respeito a uma falha de validação nos caminhos de ficheiros usados numa função responsável pela eliminação de ficheiros submetidos via formulários. Segundo a Defiant, empresa especializada em segurança para WordPress, o Forminator não aplica validações adequadas na estrutura dos dados recebidos nos campos de upload, permitindo a submissão maliciosa de matrizes de ficheiros em campos que não deveriam aceitá-los. A função vulnerável pode eliminar quaisquer ficheiros especificados nesses campos maliciosos, sem verificar a extensão, o tipo de conteúdo ou se os ficheiros estão localizados em diretórios autorizados, o que abre a possibilidade de remoção de ficheiros críticos, como o wp-config.php — ficheiro essencial que contém credenciais da base de dados e configurações vitais do WordPress. “Isto significa que esta função elimina todos os ficheiros contidos no metavalor, se o metavalor for uma matriz de ficheiros. Como os utilizadores podem fornecer essas matrizes mesmo em campos sem suporte a ficheiros, a falha torna-se explorável em qualquer formulário ativo”, alerta a Defiant. A exploração da vulnerabilidade pode ser feita de forma automatizada e remota, sendo possível que um atacante, ao eliminar o ficheiro wp-config[.]php, force o WordPress a entrar no modo de instalação inicial. A partir daí, o atacante pode reconfigurar o site e obter controlo total, comprometendo a integridade e a segurança da página. A gravidade desta falha torna urgente a atualização para a versão mais recente do Forminator, ou a sua desativação temporária até que uma correção seja aplicada. Os administradores de sites devem também rever os seus registos de acesso e ficheiros críticos para detetar eventuais indícios de exploração. |
Receba todas as novidades na sua caixa de correio!
THREATS
Infostealers responsáveis por mais de 80% da atividade de malware, alerta CNCS
THREATS
Falhas no Microsoft Teams permitem falsificar identidades e manipular mensagens
ANALYSIS
Maioria das PME europeias não têm estratégia de cibersegurança
OPINION
Shadow AI: A ameaça invisível à segurança da sua organização
ITS CONF
Rapid7: “A realidade é que não conseguimos proteger o que não conseguimos ver” (com video)
THREATS
SAP lança novas notas de segurança para corrigir falhas críticas em múltiplos produtos
THREATS
Segredos expostos no GitHub atingem empresas de IA avaliadas em mais de 400 mil milhões de euros
THREATS
TP-Link: EUA avançam com proposta para banir a marca
THREATS
Vulnerabilidade zero-day em dispositivos explorada para distribuir spyware
THREATS
Plataformas de cloud e IA são porta de entrada para ataques no setor industrial
