Peretas secara aktif mengeksploitasi kerentanan kritis (CVE-2026-3300) di plugin Everest Forms Pro, yang memungkinkan mereka mengambil kendali penuh atas situs WordPress.
Masalah keamanan memengaruhi plugin versi 1.9.12 dan sebelumnya dan dapat dimanfaatkan tanpa autentikasi untuk mengeksekusi kode arbitrer di server.
Everest Forms Pro adalah add-on komersial untuk plugin pembuat formulir WordPress Everest Forms. Ini digunakan untuk membuat kontak, pendaftaran, pembayaran, dan formulir aplikasi khusus lainnya.
Kerentanan CVE-2026-3300 terdapat pada fitur Perhitungan Kompleks plugin, yang menerima nilai yang dikirimkan melalui kolom formulir dan memasukkannya ke dalam string kode PHP. Kemudian, ia mengeksekusi kode yang dihasilkan menggunakan fungsi ‘eval ()’ PHP.
Meskipun input pengguna diteruskan melalui fungsi ‘sanitize_text_field()’, yang tidak lolos dari tanda kutip tunggal (‘) atau karakter lain yang memengaruhi sintaksis PHP.
Akibatnya, penyerang dapat menutup string yang dimaksud, memasukkan kode PHP arbitrer, dan mengomentari sisa kode yang dihasilkan untuk mencapai eksekusi kode di server.
Data telemetri dari firewall Wordfence dan pemindai malware untuk WordPress menunjukkan bahwa kerentanan dieksploitasi secara liar untuk membuat akun administrator jahat.
“Penyerang mengirimkan nilai untuk bidang teks yang dimulai dengan tanda kutip tunggal untuk menutup literal string pembungkus, diikuti dengan pernyataan PHP yang memanggil wp_insert_user() untuk membuat akun administrator baru dengan nama pengguna ‘diksimarina’,” jelas a laporan dari Wordfence.
“Penanda // komentar di akhir memastikan sisa kode PHP yang dihasilkan, termasuk kutipan penutup, diperlakukan sebagai komentar dan tidak menyebabkan kesalahan sintaksis.”
“Saat formulir diproses, dan perhitungan dievaluasi, kode PHP yang disuntikkan dieksekusi, dan akun administrator jahat dibuat.”
Akses tingkat administrator memberi penyerang kekuatan penuh untuk melakukan tindakan berisiko tinggi di situs web yang dibobol, termasuk memodifikasi konten, memasang plugin dan tema, memasang pintu belakang dan webshell, serta mengakses database pribadi.
Peneliti h0xilo mengirimkan kerentanan CVE-2026-3300 melalui Wordfence pada bulan Februari, dan pada tanggal 18 Maret, pengembang Everest Forms merilis patch yang mengatasi masalah tersebut.
Menurut data Wordfence, eksploitasi aktif dimulai pada 13 April, dengan firewall memblokir lebih dari 29.300 upaya.
Sumber: Wordfence
Wordfence mengatakan upaya eksploitasi terutama berasal dari dua alamat IP, 202.56.2[.]126 dan 209.146.60.26, dan merekomendasikan pembela HAM untuk memblokirnya.
Namun, laporan Wordfence memberikan beberapa alamat IP yang melanggar sebagai indikator kompromi (IOC).
Administrator situs web juga disarankan untuk meninjau file log dan akun administrator untuk mengetahui adanya aktivitas mencurigakan, terutama yang mengandung string “diksimarina.”
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
