Er wordt actief misbruik gemaakt van een kritieke kwetsbaarheid (CVE-2026-3300) in de Everest Forms Pro plugin, waarmee aanvallers volledige controle over een WordPress-website kunnen verkrijgen. De kwetsbaarheid treft versies 1.9.12 en eerder van de plugin en kan zonder authenticatie worden gebruikt om willekeurige code op de server uit te voeren.

Everest Forms Pro is een commerciële uitbreiding voor de WordPress form builder plugin Everest Forms, die wordt ingezet voor het maken van contact-, registratie-, betalings- en andere aangepaste formulieren. De kwetsbaarheid zit in de Complex Calculation-functie van de plugin, die waarden uit formulierinvoer verwerkt en invoegt in een PHP-code string die vervolgens wordt uitgevoerd met de PHP-functie ‘eval()’. Hoewel de invoer wordt gefilterd met de functie ‘sanitize_text_field()’, ontsnapt deze niet aan enkele aanhalingstekens of andere karakters die de PHP-syntaxis beïnvloeden. Hierdoor kan een aanvaller de string sluiten, eigen PHP-code injecteren en de rest van de gegenereerde code als commentaar markeren, wat leidt tot code-executie op de server.

Volgens een rapport van Wordfence wordt de kwetsbaarheid in het wild misbruikt om kwaadaardige administratoraccounts aan te maken. De aanvaller stuurt een tekstveldwaarde die begint met een enkele aanhalingsteken om de string te sluiten, gevolgd door een PHP-opdracht die met wp_insert_user() een nieuw administratoraccount aanmaakt met de gebruikersnaam 'diksimarina'. Het commentaarteken ‘//’ zorgt ervoor dat de rest van de PHP-code als commentaar wordt behandeld en geen syntaxfout veroorzaakt. Zodra het formulier wordt verwerkt, wordt de geïnjecteerde PHP-code uitgevoerd en ontstaat het kwaadaardige administratoraccount.

Met administratorrechten kunnen aanvallers risicovolle acties uitvoeren, zoals het aanpassen van content, installeren van plugins en thema’s, plaatsen van backdoors en webshells, en toegang krijgen tot gevoelige databases. De kwetsbaarheid werd in februari gemeld door onderzoeker h0xilo via Wordfence, waarna de ontwikkelaar op 18 maart een patch uitbracht. Volgens Wordfence begon actieve exploitatie op 13 april, waarbij de firewall meer dan 29.300 pogingen blokkeerde. De aanvallen komen voornamelijk van twee IP-adressen, 202.56.2[.]126 en 209.146.60.26, die worden aangeraden te blokkeren. Beheerders wordt geadviseerd logbestanden en administratoraccounts te controleren op verdachte activiteiten, met name op de aanwezigheid van de string “diksimarina”.