600 mingdan ortiq WordPress sayt xavf ostida: Forminator plaginidagi jiddiy zaiflik saytni to‘liq nazoratga olishga olib kelmoqda

So‘nggi kunlarda WordPress platformasida keng qo‘llaniladigan Forminator plagini orqali jiddiy xavfsizlik muammosi aniqlanib, mutaxassislarni ogohlikka chorlamoqda. Bu zaiflik orqali xakerlar istalgan muhim tizim fayllarini — jumladan, wp-config.php faylini ham — masofadan turib o‘chirib tashlashlari mumkin.

🧩 Zaiflik haqida qisqacha:

🔐 CVE-2025-6463 raqami bilan ro‘yxatga olingan bu zaiflikga 8.8 ballik (yuqori darajadagi) xavfsizlik bahosi berilgan.

💥 Foydalanuvchi tomonidan yuborilgan maxsus forma orqali fayl o‘chiriladi — bu holat forma ma’lumotlari admin tomonidan qo‘lda yoki avtomatik tarzda o‘chirib tashlanganda yuz beradi.

⚠️ Eng xavfli ssenariy: wp-config.php fayli o‘chirilib, sayt soxta sozlash rejimiga o‘tadi. Bu orqali xakerlar o‘z bazasini ulab, saytingizni to‘liq nazorat ostiga olishi mumkin.

🛠️ 1.44.3 versiyasiga yangilang — unga qadar bo‘lgan barcha versiyalar (≤1.44.2) tahdid ostida!

Forminator — bu foydalanuvchilarga kontakt formalar, to‘lov formalar, testlar va so‘rovnomalar tuzish imkonini beruvchi keng tarqalgan WordPress plagini hisoblanadi. Zaiflik esa entry_delete_upload_files() funksiyasida joylashgan bo‘lib, fayl yo‘llari ustidan yetarli darajada nazorat o‘rnatilmagan.

Xakerlar arbitrar fayl yo‘llarini (masalan: ../../../wp-config.php) forma maydonlariga joylab, formani yuborish orqali saytingizda istalgan faylni yo‘qotishi mumkin.

Eng yomon tomoni — bu hujumni amalga oshirish uchun avtorizatsiya talab qilinmaydi. Ya’ni, oddiy tashrif buyuruvchi ham ushbu zaiflikdan foydalanishi mumkin, agar saytingizda faol Forminator formasi mavjud bo‘lsa.

Plagin ishlab chiquvchisi — WPMU DEV — bu zaiflik haqida xabar topgach, darhol javob berib, 2025-yil 30-iyun kuni 1.44.3 versiyasini chiqardi. Ushbu yangilanish quyidagi muhim himoya qatlamlarini o‘z ichiga oladi:

✅ Fayl turi tekshiruvlari
✅ Faqatgina upload va signature tipidagi maydonlardan fayl o‘chirishga ruxsat
✅ Fayl yo‘llarining WordPress yuklamalari katalogi doirasida bo‘lishini majburiy etuvchi tekshiruvlar
✅ Fayl nomlarini xavfsiz qilish uchun sanitize_file_name() funksiyasi ishlatilgan

Agar saytingizda Forminator plagini o‘rnatilgan bo‘lsa, darhol 1.44.3 yoki undan yuqori versiyaga yangilang. Bu zaiflikdan foydalanish juda oson va natijalari butunlay saytni yo‘qotishga olib kelishi mumkin.

Eslatma: Bu holat yana bir bor bizga WordPress kabi ochiq kodli platformalarda ishlashda doimiy monitoring, forma xavfsizligi va plaginlarni yangilab turishning muhimligini eslatadi.