Everest Forms Pro <= 1.9.12 - गणना फ़ील्ड के माध्यम से अनधिकृत रिमोट कोड निष्पादन (Remote Code Execution)

CVE-2026-3300 WordPress के Everest Forms Pro प्लगइन में एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह 1.9.12 तक के सभी संस्करणों को प्रभावित करता है, जिससे एक हमलावर, बिना प्रमाणीकरण के भी, दुर्भावनापूर्ण PHP कोड इंजेक्ट कर सकता है। यह भेद्यता Calculation Addon के processfilter() फ़ंक्शन में मौजूद है, जो उपयोगकर्ता द्वारा सबमिट किए गए फॉर्म फ़ील्ड मानों को PHP कोड स्ट्रिंग में जोड़ता है, eval() को पास करने से पहले उचित रूप से एस्केप नहीं करता है। हालांकि इनपुट पर sanitizetext_field() फ़ंक्शन लागू किया जाता है, लेकिन यह सिंगल कोट्स या अन्य PHP कोड संदर्भ वर्णों को सही ढंग से एस्केप नहीं करता है। यह हमलावर को सर्वर पर मनमाना कोड निष्पादित करने की अनुमति देता है, जिससे संभावित रूप से संपूर्ण WordPress वेबसाइट, जिसमें डेटाबेस और अन्य फ़ाइलें शामिल हैं, समझौता हो सकता है। CVSS स्कोर 9.8 है, जो एक गंभीर प्रभाव और उच्च शोषण संभावना दर्शाता है।

1. आरक्षित2026-02-26
2. प्रकाशित2026-03-31
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-04-07

CVE-2026-3300 के जोखिम को कम करने के लिए तत्काल उपाय Everest Forms Pro प्लगइन को संस्करण 1.9.13 या बाद के संस्करण में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो PHP कोड इंजेक्शन भेद्यता को संबोधित करता है। यदि तत्काल अपडेट संभव नहीं है, तो अपडेट लागू किए जाने तक Calculation Addon को अस्थायी रूप से अक्षम करने की अनुशंसा की जाती है। इसके अतिरिक्त, किसी भी संदिग्ध गतिविधि की जांच के लिए सर्वर लॉग की जांच करें जो पिछले शोषण का संकेत दे सकती है। दुर्भावनापूर्ण ट्रैफ़िक को ब्लॉक करने के लिए फ़ायरवॉल नियमों को लागू करना और नियमित रूप से वेबसाइट का बैकअप लेना अतिरिक्त निवारक उपाय हैं जो संभावित हमले के प्रभाव को कम करने में मदद कर सकते हैं। अनधिकृत संशोधनों का पता लगाने के लिए वेबसाइट फ़ाइल अखंडता की निगरानी करना भी महत्वपूर्ण है।