Sebuah lubang keamanan serius telah ditemukan pada plugin Forminator WordPress yang bisa dimanfaatkan peretas untuk menghapus file penting sekaligus menguasai situs-situs yang terinfeksi.
Sebagai salah satu plugin form builder terpopuler dengan lebih dari 600.000 instalasi aktif, Forminator biasa digunakan untuk membuat berbagai jenis formulir seperti kontak, pembayaran, hingga polling. Sayangnya, versi lawasnya mengandung kerentanan berbahaya bernama CVE-2025-6463 (berindeks CVSS 8.8) yang memungkinkan penghapusan file sembarangan akibat sistem validasi path file yang bermasalah.
Dampak Kerentanan
- Serangan Tanpa Login: Peretas bisa menyusup melalui pengiriman form palsu untuk menghapus file krusial seperti
wp-config.php, yang akan memaksa situs kembali ke mode instalasi awal dan membuka pintu bagi pengambilalihan. - Eksploitasi Praktis: Cukup dengan mengirim form spam yang dimodifikasi, pelaku dapat memicu penghapusan file saat form tersebut dihapus – baik secara manual maupun otomatis.
Mekanisme Kerentanan
- Sistem Validasi Rapuh: Proses penyimpanan data form gagal menyaring input dengan ketat, memungkinkan penyisipan array file pada field yang seharusnya hanya menerima data teks.
- Mekanisme Penghapusan Berbahaya: Ketika form dihapus, sistem akan membersihkan semua file terkait – termasuk file sistem yang sengaja disisipkan penyerang.
Tindakan Perbaikan
- Versi 1.44.3 yang dirilis 30 Juni lalu telah menambahkan validasi ketat pada path file dan membatasi penghapusan hanya untuk file yang diunggah melalui field khusus (upload/signature).
- Fakta Mengkhawatirkan: Data terbaru menunjukkan baru 200.000-an situs yang melakukan pembaruan dalam 48 jam terakhir, berarti masih ada 400.000 lebih website yang berada dalam kondisi rentan.
Langkah Penting
- Segera perbarui plugin ke versi terbaru untuk menutup celah keamanan ini.
- Peneliti yang berhasil menemukan dan melaporkan celah ini melalui Wordfence Bug Bounty Program mendapatkan imbalan sebesar $8.100.
