Plataforma
wordpress
Componente
everest-forms-pro
Corrigido em
1.9.13
CVE-2026-3300 é uma vulnerabilidade de Execução Remota de Código (RCE) no plugin Everest Forms Pro para WordPress. A falha permite que atacantes não autenticados injetem e executem código PHP arbitrário no servidor. Afeta todas as versões até a 1.9.12, inclusive. A vulnerabilidade foi corrigida na versão 1.9.13.
A vulnerabilidade CVE-2026-3300 no plugin Everest Forms Pro para WordPress representa um risco crítico de Execução Remota de Código (RCE). Afeta todas as versões até e incluindo a 1.9.12, permitindo que um atacante, mesmo sem autenticação, injete código PHP malicioso. Esta vulnerabilidade reside na função processfilter() do Addon de Cálculo, que concatena valores de campos de formulário fornecidos pelo usuário em uma string de código PHP sem o escape adequado antes de passar para o eval(). Embora a função sanitizetext_field() seja aplicada à entrada, ela não escapa corretamente as aspas simples ou outros caracteres relevantes para o contexto do código PHP. Um atacante pode explorar isso para executar código arbitrário no servidor, comprometendo potencialmente todo o site WordPress, incluindo o banco de dados e outros arquivos. A pontuação CVSS é 9,8, indicando um impacto severo e uma alta probabilidade de exploração.
A exploração desta vulnerabilidade requer que um atacante seja capaz de enviar dados através de um formulário gerenciado pelo Everest Forms Pro que utilize o Addon de Cálculo. Como a autenticação não é necessária, um atacante pode simplesmente criar um formulário de teste ou usar um existente. O atacante injetará código PHP malicioso em um dos campos do formulário. Este código será concatenado com outras entradas e avaliado usando a função eval(), permitindo que o atacante execute código arbitrário no servidor. A simplicidade da exploração, combinada com a alta severidade da vulnerabilidade, a torna um alvo atraente para os atacantes.
Status do Exploit
EPSS
0.29% (percentil 52%)
CISA SSVC
Vetor CVSS
A solução imediata para mitigar o risco de CVE-2026-3300 é atualizar o plugin Everest Forms Pro para a versão 1.9.13 ou posterior. Esta versão inclui uma correção que aborda a vulnerabilidade de injeção de código PHP. Se uma atualização imediata não for possível, recomenda-se desativar temporariamente o Addon de Cálculo até que a atualização possa ser aplicada. Além disso, revise os logs do servidor em busca de atividades suspeitas que possam indicar uma exploração anterior. Implementar regras de firewall para bloquear tráfego malicioso e realizar backups regulares do site são medidas preventivas adicionais que podem ajudar a reduzir o impacto de um possível ataque. Monitorar a integridade dos arquivos do site também é crucial para detectar modificações não autorizadas.
Atualize para a versão 1.9.13, ou uma versão corrigida mais recente
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
RCE significa que um atacante pode executar código em um servidor remoto, dando-lhe controle sobre o sistema.
Uma pontuação CVSS de 9,8 indica uma vulnerabilidade crítica com um alto impacto e uma alta probabilidade de exploração.
Sim, desativar o Addon de Cálculo é uma solução temporária viável até que você possa atualizar o plugin.
Se você suspeitar que seu site foi comprometido, altere imediatamente todas as senhas, revise os arquivos em busca de modificações não autorizadas e considere restaurar um backup limpo.
Você pode encontrar a versão mais recente do plugin Everest Forms Pro no repositório de plugins do WordPress ou no site do desenvolvedor.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.