Torniamo nuovamente, purtroppo, a parlare di vulnerabilità su CMS e della loro pericolosità, ricordando sempre però come sia del tutto impossibile aspettarsi che tali piattaforme, su tutte WordPress, possano essere sempre scevre da problematiche di questo genere. Lo abbiamo già ribadito, ma la presenza di temi, plugin e tutta una serie di altri elementi esogeni rende chiaramente WordPress e tutti i CMS molto esposti a problemi come piccoli o grandi bug di sistema, così come possono essere presenti nei sistemi principali delle piattaforme stesse, che in quel caso devono essere velocissime a sanare i problemi e rilasciare nuove versioni.
È proprio di un plugin che parliamo oggi, ovvero Forminator, che già dal nome fa intuire che può essere utilizzato per la creazione facilitata di form e che può essere ampliato anche da una versione Pro a pagamento che sblocca diverse utilissime features. Negli ultimi giorni di giugno, intorno al giorno 20, è stata però segnalata la presenza di una problematica piuttosto preoccupante, ovvero una vulnerabilità tramite la quale era possibile eliminare in modo arbitrario i file dagli attaccanti senza bisogno di alcuna autenticazione. Tra i file cancellabili mediante l’utilizzo di questa vulnerabilità c’era ovviamente anche il già noto wp-config.php, che se modificato può portare alla perdita totale del sito mediante iniezione di codice remoto. Nel momento della segnalazione, i creatori di Forminator, ovvero l’azienda chiamata WPMU, si è subito dimostrata ricettiva e collaborativa.
La vulnerabilità è stata così contrassegnata dal codice CVE-2025-6463 con un punteggio di severità pari a 8,8 su 10, quindi molto alto, questo per i motivi di cui sopra causati dalla mancanza di una validazione inadeguata nella funzione chiamata tecnicamente entry_delete_upload_files presente in tutte le versioni del plugin fino alla 1.44.2. Come abbiamo detto, la casa produttrice s’è attivata subito ed in dieci giorni ha pubblicato la versione 1.44.3 contenente la patch che sembra aver rimesso a posto tutta la situazione in modo corretto. Il problema, semmai, è adesso relativo alla enorme quantità di siti che utilizzano Forminator, circa 600.000 stando alla pagina dedicata al plugin presente sul sito di WordPress. In certi casi è necessario far circolare il più possibile il messaggio alla community del CMS, che non è sempre così ricettiva in merito a questi problemi e queste urgenti necessità.
Stando agli ultimissimi aggiornamenti sembra che soltanto un terzo degli utenti abbia effettuato l’aggiornamento, mentre gli altri stanno ancora utilizzando le versioni dalla 1.44.2 in giù. Questo costituisce un grosso problema anche perché adesso che è stata data la notizia della vulnerabilità gli hacker proveranno probabilmente a sfruttarla, detto questo è anche necessario dare tutte le informazioni alle persone in modo che possano correre ai ripari. Al 2 luglio sembra che ancora nessuno avesse sfruttato attivamente la falla di sicurezza, ma per i motivi sopra elencati è sempre più indicato procedere all’installazione della versione 1.44.3, così come a prestare attenzione a tutti gli altri aggiornamenti disponibili.
