Falha no Everest Forms permite RCE
Uma vulnerabilidade crítica de execução remota de código (RCE) no plugin Everest Forms Pro para WordPress está sendo explorada ativamente por atacantes. A falha, rastreada como CVE-2026-3300 com pontuação CVSS 9,8, permite que invasores não autenticados injetem código PHP arbitrário em servidores web e assumam o controle total de sites vulneráveis. O problema afeta todas as versões até 1.9.12 do plugin.
Como funciona o ataque
A vulnerabilidade reside no recurso “Complex Calculation” do Everest Forms Pro, especificamente na função process_filter(). Essa função constrói código PHP dinamicamente ao concatenar entradas de formulário submetidas por usuários e, em seguida, executa o resultado com a função perigosa eval().
Embora as entradas passem por sanitize_text_field() do WordPress, essa sanitização não escapa caracteres como aspas simples. Isso permite que atacantes insiram uma aspa simples para escapar do contexto da string e injetar código PHP arbitrário. Campos de texto, e-mail, URL, seleção e rádio são todos exploráveis. O ataque é realizado via requisições POST manipuladas para /wp-admin/admin-ajax.php.
Escopo dos ataques registrados
A Wordfence registrou mais de 29.300 tentativas de exploração bloqueadas, com um pico de 17.900 ataques em um único dia, 16 de maio de 2026. A exploração ativa começou em 13 de abril, semanas após a divulgação pública em 30 de março. A tática mais observada é a criação de contas de administrador rogue, especialmente com o nome de usuário “diksimarina”, usando a função wp_insert_user() do WordPress.
| Versão afetada | Versão corrigida | Tipo | Autenticação |
|---|---|---|---|
| Todas até 1.9.12 | 1.9.13 | RCE via eval() | Nenhuma necessária |
Após o comprometimento, atacantes realizam upload de webshells, modificam conteúdo do site, instalam backdoors e tentam se movimentar lateralmente pelo ambiente de hospedagem. Os endereços IP 202.56.2[.]126 e 209.146.60[.]26 estão entre os mais ativos nos ataques.
Cronologia da vulnerabilidade
- 18 de março de 2026: Vendor libera correção na versão 1.9.13
- 27 de fevereiro de 2026: Wordfence Premium inicia proteção via firewall virtual
- 30 de março de 2026: Divulgação pública da vulnerabilidade
- 13 de abril de 2026: Início da exploração ativa detectada
- 16 de maio de 2026: Pico de 17.900 ataques em um único dia
O que fazer agora
Atualize imediatamente o Everest Forms Pro para a versão 1.9.13 ou superior. Se o site usa o recurso “Complex Calculation”, verifique os registros de contas de administrador em busca de usuários desconhecidos, especialmente com nomes como “diksimarina”. Revise os logs do servidor procurando requisições POST suspeitas para /wp-admin/admin-ajax.php. Bloqueie os IPs associados à campanha e realize uma varredura completa em busca de webshells e backdoors. Caso não utilize o recurso de cálculo complexo, considere desativá-lo como mitigação adicional. Este caso reforça por que é fundamental manter plugins do WordPress sempre atualizados e monitorar ativamente os logs de acesso.