Prise de contrôle de sites WordPress via la faille Everest Forms Pro

Une vulnérabilité critique activement exploitée dans l’extension Everest Forms Pro permet à des attaquants non authentifiés d’exécuter du code arbitraire sur les serveurs WordPress, menant à une prise de contrôle totale des sites.

Points clés

• Mécanisme d’attaque : La fonctionnalité “Complex Calculation” traite les entrées utilisateur sans assainissement suffisant des caractères spéciaux (notamment les guillemets simples). Cela permet l’injection de code PHP malveillant via la fonction eval().
• Impact : Les attaquants créent des comptes administrateurs factices (ex: “diksimarina”) pour obtenir un accès complet au site, installer des portes dérobées ou voler des données.
• Activité : Plus de 29 000 tentatives d’exploitation ont été bloquées depuis avril, principalement en provenance des adresses IP 202.56.2.126 et 209.146.60.26.

Vulnérabilité

• CVE-2026-3300 : Faille d’exécution de code à distance (RCE) affectant les versions 1.9.12 et antérieures d’Everest Forms Pro.

Recommandations

• Mise à jour : Installer immédiatement la version corrigée fournie par l’éditeur (disponible depuis le 18 mars).
• Audit de sécurité : Vérifier les journaux (logs) du serveur et la liste des comptes administrateurs à la recherche d’activités suspectes ou du nom d’utilisateur “diksimarina”.
• Filtrage : Bloquer les adresses IP identifiées comme malveillantes via le pare-feu du site.

Source