Més de 600.000 llocs web basats en WordPress es troben en risc per una vulnerabilitat crítica en el plugin Forminator, segons ha informat el mitjà de comunicació Wordfence.
La fallada de seguretat, identificada com a CVE-2024-28890, permet que atacants no autenticats eliminen fitxers arbitraris del servidor mitjançant una explotació en la funcionalitat de pujada d’arxius del plugin. Això pot derivar en l’eliminació de fitxers crítics del sistema, com ara el wp-config.php, fet que facilita la presa de control total del lloc web afectat.
Segons ha detallat Wordfence, els investigadors van descobrir la vulnerabilitat el passat 26 de juny de 2025 i es va solucionar l’1 de juliol amb la versió 1.29.3 de Forminator. Aquest plugin, desenvolupat per WPMU DEV, s’utilitza àmpliament per a crear formularis, enquestes i qüestionaris en pàgines WordPress. En la seua versió vulnerable, 1.29.2 i anteriors, els mecanismes de seguretat no bloquejaven adequadament intents de suprimir fitxers fora del directori autoritzat, la qual cosa permetia abusar del mecanisme de pujada per a executar accions destructives.
El plugin comptava, en el moment de la divulgació, amb més de 600.000 instal·lacions actives, encara que altres fonts com BleepingComputer i SecurityWeek indicaven xifres una mica inferiors —prop de 400.000 webs—, possiblement per la diferència entre instal·lacions actives i llocs encara no actualitzats.
La fallada es troba en l’endpoint Forminator\Pro\Filesystem::unlink_file, el qual no disposava de comprovacions suficients per a evitar manipulacions de la ruta dels fitxers (path traversal). Un cop eliminat un fitxer essencial, els atacants poden reiniciar el procés d’instal·lació de WordPress i aconseguir privilegis administratius sense necessitat d’autenticació.
Des de Wordfence també han confirmat que no s’han detectat intents massius d’explotació fins al moment de la publicació de l’informe, tot i que es considera molt probable que es produïsquen atacs reals donat l’elevat nombre de webs vulnerables.
Els experts recomanen actualitzar immediatament a la versió segura del plugin (Forminator 1.29.3 o superior) i revisar els registres del sistema per a detectar accessos o eliminacions sospitoses.
Recursos vulnerables
Totes les versions fins a la 1.29.2
Versió estable
1.29.3 i posteriors
Referència:
- https://thehackernews.com/2025/06/critical-10-year-old-roundcube-webmail.html
- https://www.wordfence.com/blog/2025/07/600000-wordpress-sites-affected-by-arbitrary-file-deletion-vulnerability-in-forminator-wordpress-plugin/
- https://www.bleepingcomputer.com/news/security/forminator-plugin-flaw-exposes-wordpress-sites-to-takeover-attacks/
- https://www.securityweek.com/forminator-wordpress-plugin-vulnerability-exposes-400000-websites-to-takeover/