近日披露的一项高危漏洞正威胁着数十万 WordPress 网站的安全。该漏洞编号为 CVE-2025-6463，存在于流行插件 Forminator 中，为未授权任意文件删除漏洞，CVSS 评分高达 8.8。攻击者可利用该漏洞删除服务器上的关键文件，最终可能实现对整站的远程接管。

据安全公司 Wordfence 通报，受影响插件为 Forminator Forms – Contact Form, Payment Form & Custom Form Builder，目前活跃安装量超过 60 万。漏洞影响版本为 1.44.2 及以下，已在 1.44.3 版本中修复。

Wordfence 指出：“**该漏洞允许未认证攻击者在表单提交中指定任意文件路径，并在表单被删除时自动删除指定文件。**攻击者可借此删除诸如wp-config.php 等核心配置文件，进而造成远程代码执行风险。”

该漏洞由安全研究员 Phat RiO – BlueRock 通过 Wordfence 漏洞赏金计划负责任地披露，并获得 8,100 美元赏金。

问题源于插件对表单提交中传入的文件路径缺乏有效验证。受影响函数为 entry_delete_upload_files()，它盲目信任用户输入，未检查文件类型、字段上下文或上传路径。

该函数会在表单被删除时触发，无论是管理员手动删除，还是插件设置自动清理。Wordfence 警告：“这意味着任何启用了表单的站点都可能遭到利用……攻击者可在任意表单字段中提交文件数组，即便该字段本不应支持上传。”

因此，攻击者只需构造一个精心设计的表单提交，请求中引用服务器上的任意文件。一旦该提交被系统识别为垃圾内容并自动删除（或管理员手动删除），所引用的文件也将被一并删除。若被删除的是  wp-config.php，后果极为严重：“删除 wp-config.php 会使站点进入初始化安装状态，攻击者可通过绑定其控制的数据库重新接管整个站点。”

该漏洞危险性还在于其攻击门槛极低：不需要认证，仅通过一次普通表单提交即可触发，易于批量自动化。

Wordfence 强调：“我们认为，表单被识别为垃圾内容并被删除是非常常见的操作，使得该漏洞成为攻击者的重点目标。”

为防范风险，建议所有站点管理员立即升级 Forminator 插件至 1.44.3 或以上版本，并采取以下安全措施：