Honderdduizenden #WordPress-sites via lek in Forminator over te nemen

[Captain Kirk]

Een kwetsbaarheid in een veelgebruikte plug-in voor WordPress maakt remote code execution op honderdduizenden websites mogelijk, die zo volledig zijn over te nemen. Een update die het probleem verhelpt is beschikbaar, maar veel WordPress-sites hebben die nog niet geïnstalleerd. De kwetsbaarheid (CVE-2025-6463) bevindt zich in Forminator, een plug-in waarmee websites allerlei soorten webformulieren kunnen maken, zoals contactformulieren, polls, quizzen en betaalformulieren. De plug-in is op meer dan 600.000 websites actief.

Het beveiligingslek maakt het voor ongeauthenticeerde aanvallers mogelijk om willekeurige bestanden op de server te verwijderen, wat volgens securitybedrijf Wordfence tot remote code execution en het volledig overnemen van de site kan leiden. Een aanvaller kan namelijk het bestand wp-config.php verwijderen waardoor de website in een "setup state" terugvalt. Vervolgens kan een aanvaller de site verbinding laten maken met een eigen database en zo de website overnemen.

De ontwikkelaar van de plug-in werd op 25 juni over het probleem ingelicht en kwam op 30 juni met een update. Uit cijfers van WordPress.org blijkt dat zo'n 175.000 sites de patch hebben geïnstalleerd. Dat houdt in dat honderdduizenden websites risico lopen. Wordfence roept beheerders op om de update te installeren, omdat de kwetsbaarheid een "groot risico" voor websites vormt.

 

bron: https://www.security.nl