Хакеры массово ломают сайты на WordPress через брешь в форме обратной связи
Даже обычная форма обратной связи может стать начальным вектором атаки, если обработчик данных начинает выполнять присланный текст как код. Злоумышленники начали активно использовать критическую уязвимость CVE-2026-3300 (9.8 по шкале CVSS 3.1, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) в Everest Forms Pro для WordPress. Ошибка затрагивает версии 1.9.12 и ниже и позволяет без входа в систему выполнить произвольный код на сервере, где работает сайт.
Everest Forms Pro расширяет возможности плагина Everest Forms и помогает создавать формы для заявок, регистрации, платежей и других сценариев. Проблема возникла в функции Complex Calculation, которая берёт значения из полей формы, вставляет их в строку PHP-кода, а затем запускает через функцию eval(). Такая функция выполняет переданный код, поэтому ошибка в обработке данных сразу превращается в опасный механизм атаки на WordPress.
Входные данные проходили через sanitize_text_field(), но фильтр не экранировал одинарные кавычки и другие символы, влияющие на синтаксис PHP. Из-за этого атакующий мог закрыть исходную строку, добавить собственную PHP-команду и закомментировать остаток сгенерированного кода, чтобы не вызвать ошибку.
По данным Wordfence, уязвимость уже используют в реальных атаках для создания посторонних учётных записей администратора. В одном из зафиксированных сценариев злоумышленники передавали через текстовое поле значение, которое запускало wp_insert_user() и создавало администратора с именем diksimarina.
Доступ администратора даёт полный контроль над взломанным сайтом. Через такую учётную запись можно менять содержимое страниц, устанавливать плагины и темы, добавлять скрытые точки входа и веб-оболочки, а также обращаться к закрытым базам данных.
Уязвимость обнаружил исследователь под ником h0xilo. Разработчик Everest Forms выпустил исправление 18 марта, однако атаки, по данным Wordfence, начались 13 апреля. За время наблюдений Wordfence зафиксировала более 29 300 попыток эксплуатации.
Администраторам сайтов рекомендуют обновить Everest Forms Pro до исправленной версии, проверить журналы и список администраторов на подозрительную активность, особенно на наличие строки diksimarina. Wordfence также советует заблокировать IP-адреса 202.56.2.126 и 209.146.60.26, которые чаще всего фигурировали в попытках эксплуатации.