vulnerabilidad critica en forminator el plugin de wordpress que dejo expuestos 400 000 sitios web

Vulnerabilidad crítica en Forminator: el plugin de WordPress que dejó expuestos 400.000 sitios web

PorCarlos Ribeiro

Si hay algo que me ha quedado claro tras años trabajando en ciberseguridad es que los plugins son el talón de Aquiles de WordPress. Y el reciente caso de Forminator no hace más que confirmarlo. Hablamos de una vulnerabilidad que ha dejado expuestos a más de 400.000 sitios web a posibles ataques con toma de control total.

¿Qué es Forminator y por qué importa tanto?

Forminator es uno de esos plugins que muchos webmasters instalan y olvidan. Con más de 600.000 instalaciones activas, se ha convertido en una herramienta casi estándar para la creación de formularios en WordPress: desde simples contactos hasta complejos sistemas de pago, encuestas y más.

Lo que lo convierte en un objetivo tan jugoso para los atacantes es precisamente su popularidad y el rol crítico que desempeña. Porque seamos sinceros, ¿qué web no tiene algún tipo de formulario hoy en día?

La vulnerabilidad al detalle: CVE-2025-6463

La falla identificada como CVE-2025-6463 tiene una puntuación CVSS de 8.8, lo que ya nos indica que estamos ante algo serio. Para que os hagáis una idea, cualquier puntuación por encima de 8 suele poner a los equipos de seguridad en modo alerta roja.

Cómo funciona este agujero de seguridad

El problema técnico es lo que llamamos una «eliminación arbitraria de archivos». Suena complicado, pero en realidad es bastante simple de entender:

  1. El plugin no valida adecuadamente las rutas de los archivos
  2. No sanitiza correctamente los valores de los campos del formulario
  3. Permite a los atacantes enviar arrays de archivos en cualquier campo

Y aquí viene lo peor: la función responsable de eliminar los archivos enviados carece de las verificaciones necesarias para:

  • Comprobar el tipo de campo
  • Verificar la extensión del archivo
  • Controlar las restricciones del directorio de carga

Lo que convierte esta vulnerabilidad en grave

Lo que hace que esta situación sea especialmente peligrosa es que no requiere autenticación para ser explotada. Es decir, el atacante no necesita tener una cuenta en el sitio ni acceso al panel de administración. Cualquier visitante podría:

  1. Enviar un formulario manipulado
  2. Hacer que este formulario aparente ser spam
  3. Esperar a que un administrador lo elimine (algo que ocurre rutinariamente)
  4. Y en ese momento, el sistema eliminaría archivos críticos del servidor

En un escenario real, un atacante dirigiría esta vulnerabilidad al archivo wp-config.php, que contiene las credenciales de la base de datos. Cuando este archivo desaparece, WordPress entra en modo de configuración, permitiendo al atacante establecer nuevos parámetros y, esencialmente, tomar control completo del sitio.

Parche disponible pero adopción insuficiente

La buena noticia es que existe una solución: la versión 1.44.3 de Forminator corrige esta falla añadiendo las verificaciones que faltaban. Ahora, la función de eliminación solo borra archivos que:

  • Fueron subidos a través de campos específicos (con marca ‘upload’ o ‘signature’)
  • Están ubicados únicamente en el directorio de cargas de WordPress

La actualización se lanzó el 30 de junio, pero los datos son preocupantes. El parche ha sido descargado menos de 200.000 veces en los primeros días, lo que significa que más de 400.000 sitios siguen expuestos a esta amenaza.

El valor de la seguridad: cuando reportar fallos tiene recompensa

Un detalle interesante de este caso es que el investigador que descubrió y reportó esta vulnerabilidad a través del Programa de Recompensas por Errores de Wordfence recibió 8.100 dólares. Esto demuestra dos cosas: el valor que se otorga a encontrar estos fallos críticos y la importancia de los programas de bug bounty en el ecosistema de seguridad actual.

¿Qué hacer si usas Forminator?

Si eres uno de los cientos de miles de usuarios de este plugin, la recomendación es simple pero urgente:

  1. Accede a tu panel de WordPress inmediatamente
  2. Actualiza Forminator a la versión 1.44.3 o posterior
  3. Revisa los logs de tu sitio en busca de actividades sospechosas
  4. Considera implementar alguna solución de auditoría de archivos para detectar cambios no autorizados

No es exagerado decir que esta actualización podría ser lo único que se interpone entre tu sitio web y un potencial hackeo. Y a diferencia de lo que ocurre con las vulnerabilidades zero-day donde no hay parche disponible, aquí la solución ya existe. Solo falta aplicarla.

El patrón que se repite en el ecosistema WordPress

Este tipo de vulnerabilidades no son casos aislados. El ecosistema de WordPress, con su inmensa biblioteca de plugins y temas de terceros, a menudo sufre de problemas similares. La flexibilidad que hace popular a WordPress también introduce vectores de ataque que requieren mantenimiento constante.

La moraleja es clara: cada componente que añades a tu WordPress es potencialmente una puerta más que podrías estar dejando abierta a los atacantes. Por eso, menos es más cuando hablamos de plugins, y las actualizaciones nunca deberían posponerse.

No lo olvides: en seguridad informática, casi siempre es más barato prevenir que recuperarse de un ataque. Y en este caso, prevenir es tan sencillo como pulsar el botón de actualizar.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *