Sicherheitslücke im WordPress-Plugin „Forminator“ gefährdet rund 600.000 Websites

Eine kritische Sicherheitslücke im beliebten WordPress-Plugin „Forminator“ bringt derzeit etwa 600.000 Websites in Gefahr. Laut dem Sicherheitsunternehmen Wordfence, einem der führenden Anbieter im Bereich WordPress-Schutz, ermöglicht die Schwachstelle unter bestimmten Umständen das willkürliche Löschen von Dateien auf dem Server.

Wordfence, selbst Entwickler eines gleichnamigen Sicherheits-Plugins mit über fünf Millionen aktiven Installationen, warnt eindringlich vor den potenziellen Folgen. Die Sicherheitsforscher des Unternehmens haben die Lücke im Rahmen ihrer kontinuierlichen Bedrohungsanalyse entdeckt und als schwerwiegend eingestuft.

Website-Betreiber, die das Plugin im Einsatz haben, wird dringend geraten, umgehend auf die neueste Version zu aktualisieren, um mögliche Angriffe abzuwehren.

Die Lücke ermöglicht es Angreifern ohne Anmeldung, beliebige Dateien auf dem Server zu löschen – darunter auch kritische Systemdateien wie die wp-config.php, was im schlimmsten Fall zur Ausführung von Schadcode führen kann.

Wordfence erhielt am 20. Juni 2025 eine Meldung über die Sicherheitslücke. Der Entdecker: Sicherheitsforscher Phat RiO – BlueRock, der den Fehler verantwortungsvoll über das Wordfence Bug Bounty Program gemeldet hat. Für seine Entdeckung erhielt er eine Prämie von 8.100 US-Dollar – die bislang höchste Belohnung, die Wordfence in seinem Programm vergeben hat.

„Solche hochwertigen Beiträge sind entscheidend für die Sicherheit des WordPress-Ökosystems“, erklärt Wordfence. Das Unternehmen setzt auf einen mehrschichtigen Verteidigungsansatz und investiert gezielt in Schwachstellenforschung und die Zusammenarbeit mit externen Experten.

Nach dem Eingang der Meldung kontaktierte Wordfence am 23. Juni das Entwicklerteam von WPMU DEV, das den Patch innerhalb weniger Tage veröffentlichte. Bereits am 25. Juni registrierten sich die Entwickler auf dem Wordfence Vulnerability Management Portal und stellten am 30. Juni 2025 eine abgesicherte Version des Plugins bereit. Wordfence lobte die schnelle und professionelle Reaktion ausdrücklich.

Nutzerinnen und Nutzern von Forminator wird dringend empfohlen, das Plugin umgehend auf die Version 1.44.3 zu aktualisieren, um potenziellen Angriffen zuvorzukommen.

Zusammenfassung der Sicherheitslücken von Wordfence Intelligence

Technische Analyse

Forminator ist ein beliebtes WordPress-Plugin zum Erstellen von Formularen, mit dem Benutzer mithilfe eines benutzerfreundlichen Drag-and-Drop-Builders verschiedene Arten von Formularen erstellen können, z. B. Kontaktformulare, Zahlungsformulare, Quizze und Umfragen.

Eine Untersuchung des Codes zeigt, dass das Plugin die Funktion save_entry_fields() in der Klasse Forminator_CForm_Front_Action verwendet, um die Eingabefelder des Formulars in der Datenbank zu speichern.

Leider führt diese Funktion keine Bereinigung der Werte durch, die den Feldern entsprechen. Die Funktion ruft die Funktion set_fields() in der Klasse Forminator_Form_Entry_Model auf, die den Metaschlüssel und den serialisierten Metawert in der Datenbank speichert.

Dadurch kann ein Angreifer beim Absenden des Formulars ein Datei-Array in einem beliebigen Feld (z. B. einem einfachen Namensfeld) übermitteln.

Eine weitere Untersuchung des Codes zeigt, dass das Plugin die Funktion entry_delete_upload_files() in der Klasse Forminator_Form_Entry_Model verwendet, um die hochgeladenen Dateien einer Formularübermittlung zu löschen, wenn die Formularübermittlung gelöscht wird. Die Übermittlung kann manuell vom Administrator gelöscht werden oder automatisch gemäß den Plugin-Einstellungen gelöscht werden.

Wie Wordfence weiter berichtet, beruht die kürzlich entdeckte Schwachstelle im Plugin „Forminator“ auf unzureichenden Sicherheitsprüfungen bei der Verarbeitung von Formularübermittlungen. So prüft die Funktion weder den Typ der Formularfelder noch die Art oder Erweiterung hochgeladener Dateien. Auch das Upload-Verzeichnis wird nicht ausreichend eingeschränkt.

Dadurch können Angreifer ein sogenanntes Datei-Array in beliebige Formularfelder einschleusen – selbst in solche, die eigentlich gar keine Dateiuploads erlauben. Werden diese Übermittlungen anschließend gelöscht, entfernt das Plugin automatisch sämtliche darin referenzierten Dateien – ohne weitere Prüfung. Dies betrifft unter anderem auch sicherheitskritische Dateien wie wp-config.php, das zentrale Konfigurationsdokument jeder WordPress-Installation.

Wird wp-config.php gelöscht, fällt die betroffene Website automatisch in den Einrichtungsmodus zurück. In diesem Zustand kann ein Angreifer die Seite mit einer eigenen Datenbank verbinden – und so potenziell die volle Kontrolle über die Website übernehmen.

Zwar erfordert ein erfolgreicher Angriff, dass die manipulierte Übermittlung zunächst gelöscht wird – entweder manuell oder automatisiert. Doch laut Wordfence ist dies in der Praxis sehr wahrscheinlich: Angreifer könnten etwa gezielt Spam-Formulare einreichen, die von Website-Betreibern oder automatischen Filtersystemen aussortiert und gelöscht werden. Genau dieser Schritt aktiviert die Schwachstelle.

Fazit von Wordfence: Die Gefahr ist hoch. Betreiber von WordPress-Websites, die das Plugin verwenden, sollten dringend ein Update auf Version 1.44.3 durchführen, um sich vor potenziellen Angriffen zu schützen.

Der Patch

Der Anbieter hat dieses Problem behoben, indem er eine Feldtypprüfung und eine Dateipfadprüfung zur Funktion entry_delete_upload_files() hinzugefügt hat. Das bedeutet, dass nur Dateien gelöscht werden, die über Felder mit dem Typ „upload” oder „signature” hochgeladen wurden, und dass der Pfad auf das WordPress-Upload-Verzeichnis beschränkt ist.

Wordfence zieht Fazit: Kritische Sicherheitslücke in „Forminator“ erfordert sofortiges Handeln

Wordfence weist in seinem aktuellen Bericht noch einmal eindringlich auf die Schwere der entdeckten Schwachstelle im WordPress-Plugin Forminator hin. Die Sicherheitslücke betrifft alle Versionen bis einschließlich 1.44.2 und ermöglicht es nicht authentifizierten Angreifern, beliebige Dateien auf dem Server zu löschen. Im schlimmsten Fall kann dies zur Ausführung von Schadcode und zur vollständigen Übernahme der Website führen.

Die Lücke wurde in der am 30. Juni 2025 veröffentlichten Version 1.44.3 behoben. Website-Betreibern wird daher dringend geraten, ihre Installationen unverzüglich zu überprüfen und das Plugin auf den aktuellen Stand zu bringen.

Nutzer der kostenpflichtigen Wordfence-Dienste Premium, Care und Response wurden bereits am 26. Juni 2025 durch eine aktualisierte Firewall-Regel geschützt. Anwender der kostenlosen Version des Wordfence-Plugins erhalten denselben Schutz automatisch am 26. Juli 2025.

Wordfence appelliert zudem an die Community: Wer Personen oder Unternehmen kennt, die „Forminator“ einsetzen, sollte diese über die Sicherheitslücke informieren. Der Schutz der Website-Infrastruktur sei in diesem Fall von besonderer Dringlichkeit, da die Schwachstelle ein hohes Risiko für Betreiber und Besucher darstellt.

Weitere Beiträge:

Vom Aushängeschild zum Sicherheitsrisiko: Warum Ihre Website ein Angriffsziel ist

---