600.000 WordPress-Seiten durch Forminator-Plugin-Sicherheitslücke bedroht
In dem beliebten WordPress-Plugin Forminator (über 600.000 aktive Installationen) wurde eine kritische Sicherheitslücke (CVE-2025-6463, CVSS 8.8) entdeckt. Die Schwachstelle erlaubt es Angreifern ohne Anmeldung, beliebige Dateien auf dem Server zu löschen – darunter auch die zentrale wp-config.php-Datei, was eine vollständige Übernahme der Website ermöglichen kann.
Der Fehler wurde am 20. Juni 2025 von Phat RiO – BlueRock über das Wordfence Bug Bounty Program gemeldet und mit 8.100 US-Dollar prämiert. Die Entwickler von WPMU DEV reagierten schnell und veröffentlichten am 30. Juni 2025 ein Update (Version 1.44.3), das die Lücke schließt. Wordfence-Nutzer mit Premium-Tarifen sind seit dem 26. Juni 2025 geschützt, Nutzer der kostenlosen Version ab dem 26. Juli 2025.