Auf den Punkt: Eine ungepatzte Sicherheitslücke in Everest Forms Pro (bis Version 1.9.12) ermöglicht es unauthentifizierten Angreifern, beliebigen PHP-Code auf WordPress-Websites auszuführen und die Kontrolle zu übernehmen.
Die Sicherheitsfirma Defiant warnt vor aktiver Ausnutzung einer kritischen Remote-Code-Execution-Schwachstelle im WordPress-Plugin Everest Forms Pro (CVE-2026-3300, CVSS 9,8). Angreifer nutzen eine ungenügende Eingabebereinigung im Berechnungs-Add-on, um PHP-Code auszuführen und Admin-Konten anzulegen.
Unter der CVE-ID CVE-2026-3300 wird eine Remote-Code-Execution-Schwachstelle in dem kommerziellen WordPress-Plugin Everest Forms Pro registriert, die mit einer Kritikalitätsstufe von 9,8 auf der CVSS-Skala bewertet wird. Betroffen sind alle Plugin-Versionen bis einschließlich 1.9.12. Das Fehler befindet sich in der Funktion „process_filter“ des Berechnungs-Add-ons, die mathematische Formeln verarbeitet und diese über die PHP-Funktion eval ausführt. Die verwendete Eingabebereinigung mit sanitize_text_field maskiert keine einfachen Anführungszeichen, sodass unauthentifizierte Angreifer über öffentliche Formularfelder Schadcode injizieren können.
Der Angriff erfordert weder Benutzerinteraktion noch eine Anmeldung. Ein manipulierter Wert mit einem einfachen Anführungszeichen reicht aus, um die PHP-Zeichenkette zu unterbrechen und eigenen Code auf dem Server auszuführen. Die aktive Ausnutzung begann am 13. April 2026, etwa zwei Wochen nach der Veröffentlichung der Sicherheitswarnung. Der Sicherheitsdienst Wordfence verzeichnete seither über 29.300 blockierte Angriffsversuche, darunter über 17.900 Anfragen an einem einzelnen Tag im Mai. Die Mehrheit der Anfragen stammte von der IP-Adresse 202.56.2.126.
Angreifer zielen auf die vollständige Übernahme betroffener Websites ab. Bei beobachteten Angriffswellen legten Akteure typischerweise ein neues Administratorkonto mit dem Benutzernamen „diksimarina“ und der E-Mail-Adresse „diksimarina@gmail.com“ an oder deponierten Web-Shells für persistenten Fernzugriff. Der Entwickler WPEverest veröffentlichte die bereinigte Version 1.9.13 am 18. März 2026.
Für CISOs und Website-Betreiber wird ein sofortiges Update auf Version 1.9.13 oder neuer dringend empfohlen. Falls ein Update nicht unmittelbar möglich ist, sollte die Berechnungsfunktion in allen Formularen deaktiviert oder das gesamte Plugin temporär abgeschaltet werden. Nach einer Aktualisierung ist eine Überprüfung der Benutzerliste auf nicht autorisierte Konten erforderlich; zudem sollten Server-Verzeichnisse nach unerwarteten PHP-Dateien durchsucht werden, um Hinweise auf bereits erfolgte Kompromittierungen zu erkennen.
Quelle: www.it-daily.net · Erschienen 10. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.