In de veelgebruikte WordPress-plug-in Forminator is een kritieke kwetsbaarheid (CVE-2025-6463) ontdekt die leidt tot remote code execution op meer dan 600.000 websites. Het lek stelt ongeauthenticeerde aanvallers in staat om arbitraire bestanden op de server te verwijderen, waaronder het wp-config.php-bestand. Hierdoor valt de site terug in een setup-modus, waarna een aanvaller de website kan koppelen aan een eigen database en zo de volledige site kan overnemen. Hoewel op 30 juni een update werd uitgebracht, hebben slechts circa 175.000 sites deze beveiligingspatch geïnstalleerd, waardoor honderdduizenden sites nog kwetsbaar zijn. Beheerders worden dringend opgeroepen om de update te implementeren vanwege het grote beveiligingsrisico.