Als je de populaire WordPress-plugin Forminator gebruikt, is het tijd om direct actie te ondernemen. Er is een ernstige kwetsbaarheid ontdekt die een aanvaller in staat kan stellen om je volledige website over te nemen – zonder dat er ook maar ingelogd hoeft te worden.
De kwetsbaarheid, bekend onder de naam CVE-2025-6463, heeft een CVSS-score van 8.8 (hoog risico) en treft alle versies tot en met 1.44.2 van de Forminator plugin.
Wat is er aan de hand?
Door onvoldoende validatie in de backendcode van de plugin kan een kwaadwillende een speciaal gemanipuleerd formulier indienen. Daarbij worden bestanden zoals wp-config.php op een slinkse manier gekoppeld aan de formuliervelden. Als de beheerder vervolgens de inzending verwijdert of als Forminator oude inzendingen automatisch verwijdert, wordt dit kritieke bestand gewist.
Het gevolg? Je website komt in de WordPress setup-modus terecht, waardoor een aanvaller de site aan zijn eigen database kan koppelen en volledige controle kan verkrijgen.
Ontdekking & Oplossing
De kwetsbaarheid werd ontdekt door de onderzoeker Phat RiO – BlueRock en gerapporteerd aan Wordfence, die op 30 juni samen met WPMU DEV een beveiligingsupdate heeft uitgebracht: Forminator versie 1.44.3.
Wat moet jij doen?
Update direct naar versie 1.44.3 of hoger
Kun je niet meteen updaten? Deactiveer de plugin tijdelijk om risico’s te vermijden
Hoewel er nog geen actieve aanvallen gemeld zijn, is de technische informatie nu openbaar en kunnen kwaadwillenden snel hun slag slaan.
