Falha crítica no Everest Forms Pro para WordPress sob exploração ativa (CVE-2026-3300)

Uma vulnerabilidade crítica de execução remota de código no plugin Everest Forms Pro para WordPress está sendo ativamente explorada para sequestrar sites. Identificada como CVE-2026-3300 com pontuação CVSS 9,8, a falha permite que atacantes sem autenticação executem PHP no servidor. O Wordfence já bloqueou mais de 29 mil tentativas de exploração, sendo 17,9 mil em apenas um dia.

O que aconteceu

O Wordfence, empresa especializada em segurança WordPress, divulgou análise de uma falha crítica no plugin comercial Everest Forms Pro, desenvolvido pela WPEverest. A vulnerabilidade, catalogada como CVE-2026-3300, recebeu pontuação CVSS de 9,8 e atinge todas as versões até a 1.9.12, inclusive. O plugin é utilizado em aproximadamente 4 mil instalações ativas como construtor de formulários personalizados.

A falha foi reportada ao programa de bug bounty da Wordfence por um pesquisador identificado pelo handle h0xilo. A WPEverest publicou a correção na versão 1.9.13. Sites que ainda rodam builds anteriores permanecem expostos, e a recomendação dos pesquisadores é atualizar sem demora.

O cenário ganha gravidade porque os ataques em larga escala começaram em 13 de abril de 2026, cerca de duas semanas após a divulgação pública da vulnerabilidade. Desde então, a telemetria do Wordfence registrou mais de 29.300 tentativas de exploração, com um pico de 17.900 num único dia, 16 de maio.

Detalhes da vulnerabilidade

O ponto fraco está no complemento Calculation do plugin, que executa fórmulas de cálculo dos formulários por meio da função PHP eval(). Os valores submetidos pelo usuário final são concatenados na string PHP antes de serem executados, e a função sanitize_text_field() não escapa aspas simples, deixando o caminho aberto para injeção de código.

Na prática, um atacante consegue abrir um valor com aspas simples, romper a string envolvente e injetar código PHP arbitrário, que eval() executa em seguida. Somente formulários com o recurso Complex Calculation ativado estão expostos, porém qualquer campo de texto, e-mail, URL, seleção ou opção pode servir como vetor de entrada.

A partir daí, um ataque bem-sucedido pode criar contas administrativas falsas, plantar webshells e abrir novos pontos de apoio.

Análise da Wordfence sobre o impacto da CVE-2026-3300

O payload mais frequente identificado em campo tenta registrar uma conta administrativa chamada “diksimarina”. Quando consegue se estabelecer, o atacante migra para implantação de backdoors persistentes e estabelecimento de canais de comando e controle.

Quem é afetado

• Sites WordPress que utilizam o Everest Forms Pro em versão igual ou inferior a 1.9.12.
• Especialmente vulneráveis aqueles com o recurso Complex Calculation habilitado em algum formulário público.
• Operadores de e-commerce, captação de leads e portais com formulários de orçamento, frequentemente alvos primários por concentrarem dados e tráfego.
• Agências e desenvolvedores que mantêm dezenas de instalações com versões atrasadas do plugin licenciado.

Indicadores de comprometimento

• Conta administrativa com nome “diksimarina”
• Endereço de e-mail diksimarina@gmail.com
• Requisições originárias do IP 202.56.2.126, responsável por mais de 26,3 mil tentativas bloqueadas
• Criação inesperada de novos usuários com privilégios elevados
• Aparição de arquivos PHP não solicitados em diretórios de uploads ou plugins

Análise

O caso reforça uma tendência já evidente em todo o ecossistema WordPress: a janela entre divulgação de falha e exploração em massa está se estreitando rapidamente. Em 2024, casos como o do plugin LiteSpeed Cache mostraram explorações começando em poucas horas após a publicação dos detalhes técnicos. Aqui, embora duas semanas pareçam mais espaço, o pico de 17,9 mil tentativas em 24 horas indica que múltiplos grupos automatizaram o ataque após pesquisarem o patch público.

Outro padrão recorrente: o uso direto de eval() para processar dados controlados pelo usuário continua sendo origem repetida de falhas críticas em plugins comerciais. Mesmo em 2026, vemos pacotes pagos cometendo o erro arquitetural de delegar avaliação de expressões matemáticas ao interpretador PHP, sem isolar o contexto ou usar bibliotecas seguras como o parser nikic/php-parser ou implementações de calculator dedicadas. Para desenvolvedores de plugin, deveria ser regra de design não introduzir caminhos que cheguem a eval() partindo de input externo.

Para sites WordPress, o vetor é especialmente lucrativo: a transformação imediata de uma submissão de formulário em conta administrativa permite ao atacante monetizar de várias formas. SEO spam, injeção de skimmers em checkouts, redirecionamentos para campanhas de phishing e revenda de acesso em mercados clandestinos são todos cenários plausíveis. A escala de 4 mil instalações ativas pode parecer pequena diante de plugins gratuitos, mas como se trata de produto pago, há maior concentração em sites comerciais com receita relevante.

Recomendações práticas

• Atualizar imediatamente o Everest Forms Pro para a versão 1.9.13 ou superior em todas as instalações geridas.
• Auditar a lista de usuários do WordPress em busca de novas contas administrativas, especialmente “diksimarina” ou variantes recentes.
• Bloquear no firewall ou WAF requisições originárias do IP 202.56.2.126 e monitorar reativações em ranges próximos.
• Caso o uso do recurso Complex Calculation não seja essencial, desativá-lo até confirmar atualização para a versão segura.
• Procurar por arquivos PHP suspeitos em diretórios de uploads (wp-content/uploads) e plugins, especialmente com nomes aleatórios ou timestamps recentes.
• Para agências e MSPs: forçar varredura completa de inventário de plugins, com prioridade para Everest Forms Pro e demais formulários populares.
• Adotar política de patch SLA inferior a 72 horas para plugins WordPress classificados como críticos, dado o ritmo cada vez mais agressivo da exploração em massa.

Fonte: Infosecurity Magazine