Más de 600.000 sitios web construidos con WordPress están en riesgo debido a una vulnerabilidad crítica en el plugin Forminator, según ha informado el medio de comunicación Wordfence.
El fallo de seguridad, identificado como CVE-2024-28890, permite a atacantes no autenticados eliminar archivos arbitrarios del servidor mediante una explotación en la funcionalidad de subida de archivos del plugin. Esto puede derivar en la eliminación de archivos críticos del sistema, incluyendo el propio wp-config.php, lo que facilita la toma de control total del sitio afectado.El problema radica en cómo WinRAR maneja las rutas de archivo dentro de archivos comprimidos, lo que permite a un atacante realizar traversal de directorios (salto entre directorios no previstos).
Según ha detallado Wordfence, los investigadores descubrieron el fallo el pasado 26 de junio de 2025, y fue parcheado el 1 de julio en la versión 1.29.3 de Forminator. El plugin, desarrollado por WPMU DEV, se utiliza ampliamente para crear formularios, encuestas y cuestionarios en sitios WordPress. En su versión vulnerable, 1.29.2 y anteriores, los controles de seguridad no bloqueaban adecuadamente los intentos de borrar archivos fuera del directorio autorizado, lo que permitía a los atacantes abusar del mecanismo de subida de archivos para ejecutar acciones destructivas.
El plugin contaba en el momento de la divulgación con más de 600.000 instalaciones activas, aunque otras fuentes como BleepingComputer y SecurityWeek señalan cifras algo inferiores —cerca de 400.000 sitios—, lo que podría reflejar la diferencia entre instalaciones únicas y actualizaciones pendientes.
El fallo reside en el endpoint Forminator\Pro\Filesystem::unlink_file, que carecía de comprobaciones adecuadas para evitar rutas de archivos manipuladas (path traversal). Una vez eliminado un archivo esencial, los atacantes pueden reiniciar el proceso de instalación de WordPress y obtener privilegios administrativos sin necesidad de autenticación.
Wordfence, que forma parte de la plataforma de seguridad Defiant, también ha confirmado que no se han observado intentos masivos de explotación en el momento de la publicación del informe, aunque se considera que la probabilidad de ataques reales es alta dado el número de sitios vulnerables.
Los expertos recomiendan actualizar de inmediato a la versión segura del plugin (Forminator 1.29.3 o superior) y revisar los registros del sistema en busca de accesos o eliminaciones sospechosas.
Recursos afectados
-
- Todas las versiones hasta 1.29.2 inclusive
Recomendaciones
-
-
1.29.3 y posteriores
-
Referencias
-
-
- https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
- https://www.wordfence.com/blog/2025/07/600000-wordpress-sites-affected-by-arbitrary-file-deletion-vulnerability-in-forminator-wordpress-plugin/
- https://www.bleepingcomputer.com/news/security/forminator-plugin-flaw-exposes-wordpress-sites-to-takeover-attacks/
- https://www.securityweek.com/forminator-wordpress-plugin-vulnerability-exposes-400000-websites-to-takeover/
-