Une faille de sécurité suis-je au courant ?
WordPress – CVE-2025-6463 : cette faille dans le plugin Forminator menace plus de 400 000 sites Web !
Le plugin « Forminator Forms« , développé par WPMU DEV et actif sur plus de 600 000 sites web, qui sont désormais des cibles potentielles pour les attaquants. La vulnérabilité faisant l’objet de cet article est associée à la référence CVE-2025-6463 et à un score CVSS de 8.8 sur 10. Elle a été découverte par Phat RiO – BlueRock et signalée à Wordfence le 20 juin dernier.
En l’exploitant, un attaquant peut parvenir à supprimer des fichiers sur le site WordPress, sans être authentifié. Elle ouvre la porte à la compromission totale de sites WordPress.
Le cœur du problème réside dans une validation insuffisante des entrées de champs de formulaire, combinées à une logique de suppression de fichiers peu sûre dans le code backend du plugin. Dans les faits, lorsqu’un utilisateur soumet un formulaire, la fonction save_entry_fields()
enregistre toutes les valeurs des champs, y compris les chemins de fichiers, sans vérifier si ces champs sont réellement destinés à gérer des fichiers.
Un attaquant peut tirer profit de cette faille de sécurité pour cibler un fichier critique de WordPress, dont le fichier wp-config.php
. Ce fichier contient les informations de configuration de WordPress, y compris les identifiants de la base de données… À ce moment-là, Forminator efface le fichier ciblé, comme le wp-config.php
. Si ce fichier est supprimé, le site WordPress va entrer dans un état de configuration initiale, le rendant vulnérable à une prise de contrôle.
Signalée le 20 juin 2025, cette vulnérabilité bénéficie d’un correctif de sécurité depuis le 30 juin 2025, suite à la sortie de la version 1.44.3 du plugin Forminator. Cette mise à jour ajoute une vérification supplémentaire, y compris sur le chemin du fichier, garantissant que les suppressions sont désormais limitées au répertoire des téléchargements de WordPress.
À ce jour, aucune exploitation active de cette faille n’a été signalée, mais la situation pourrait rapidement évoluer. Ceci est d’autant plus vrai que cette extension est populaire et la vulnérabilité serait facile à exploiter.
L’extension a été téléchargée plus de 120 000 fois le 30 juin, soit le jour de la sortie du patch. Bien qu’il y ait des téléchargements au quotidien, de nombreux sites restent encore vulnérables à la CVE-2025-6463. D’après les statistiques WordPress, nous pouvons estimer à 200 000 le nombre de sites patchés, soit encore 400 000 sites potentiellement vulnérables.