Aktivno se iskorištava kritična ranjivost u dodatku Everest Forms Pro za WordPress

Sigurnosni istraživači navode da napadači aktivno iskorištavaju kritičnu ranjivost CVE-2026-3300 u dodatku Everest Forms Pro, što im može omogućiti potpunu kontrolu nad WordPress web-stranicom. Ranjivost pogađa verzije 1.9.12 i starije, a može se iskoristiti bez autentifikacije za izvođenje proizvoljnog koda na poslužitelju.

Everest Forms Pro je komercijalni dodatak za WordPressov alat za izradu obrazaca Everest Forms, a koristi se za izradu kontaktnih, registracijskih, platnih i drugih prilagođenih obrazaca. Problem je u funkciji Complex Calculation, koja vrijednosti poslane kroz polja obrasca umeće u PHP niz koda, a zatim ga izvršava pomoću funkcije eval(). Iako se korisnički unos prolazi kroz funkciju sanitize_text_field(), ona ne uklanja jednostruke navodnike ni druge znakove koji utječu na PHP sintaksu.

Wordfence navodi da se ranjivost u praksi koristi za stvaranje lažnih administratorskih računa. U opisu napada stoji da napadač može poslati vrijednost u tekstualno polje tako da počinje jednostrukim navodnikom, zatim ubaciti PHP naredbu koja poziva wp_insert_user() i stvara novi administratorski račun, a preostali generirani kod zakomentirati znakom // kako ne bi došlo do sintaktičke pogreške. Kada se obrazac obradi i izračun izvrši, umetnuti PHP kod se pokreće i zlonamjerni administratorski račun se stvara.

Administratorska razina pristupa napadačima daje mogućnost mijenjanja sadržaja, instaliranja dodataka i tema, postavljanja stražnjih vrata i webshellova te pristupa privatnim bazama podataka. Istraživač h0xilo prijavio je CVE-2026-3300 putem Wordfencea u veljači, a 18. ožujka razvijatelj Everest Forms objavio je zakrpu koja otklanja problem. Prema podacima Wordfencea, aktivno iskorištavanje počelo je 13. travnja, a vatrozid je blokirao više od 29.300 pokušaja.

Wordfence navodi da pokušaji iskorištavanja uglavnom dolaze s dvije IP adrese, 202.56.2[.]126 i 209.146.60.26, te preporučuje obrambenim timovima da ih blokiraju. U izvješću se navodi i više problematičnih IP adresa kao pokazatelji kompromitacije. Upraviteljima web-stranica preporučuje se i provjera zapisnika te administratorskih računa zbog sumnjive aktivnosti, osobito one koja sadrži niz “diksimarina”.