2025年6月、WordPress用フォーム作成プラグイン「Forminator」において、未認証の攻撃者が任意のファイルを削除できる深刻な脆弱性(CVE-2025-6463、CVSSスコア:8.8)が発見されました。
対象バージョンは1.44.2以下で、既に600,000以上のWebサイトに影響を及ぼしている可能性があります。
脆弱性の対象バージョン
Forminatorプラグイン 1.44.2以前
脆弱性の対策バージョン
Forminatorプラグイン 1.44.3以上
脆弱性の概要
Forminatorは、問い合わせフォームや支払フォーム、アンケート、投票などを作成できる人気の高いプラグインです。しかし、同プラグインに含まれるentry_delete_upload_files()関数には、削除対象のファイルパスを適切に検証しない不備があり、外部から送信されたフォームに任意のファイルパスが含まれていると、そのファイルが削除されてしまう可能性があります。
特に、WordPressのwp-config.phpファイルが削除された場合、サイトは初期設定状態となり、攻撃者が自身のデータベースと接続してサイトを乗っ取ることも可能になります。
悪用の手法と実行可能性
本脆弱性は、フォーム送信後に発生する削除処理がトリガーとなるため、攻撃者はスパム的な投稿を行い、管理者がその投稿を削除するか、またはForminatorの自動削除設定が有効な環境で実行されることで容易に悪用され得ます。
WordPressセキュリティ企業Defiantによると、この脆弱性は任意のファイル削除を実現する極めて危険なもので、実際に未認証の状態から攻撃が可能であると報告されています。
この脆弱性を発見・報告した研究者「Phat RiO – BlueRock」氏には、Wordfence Bug Bounty Programを通じて$8,100(約117万円)の報奨金が支払われており、これは同プログラム史上最高額の報奨金となっています。
参照








