平台
wordpress
组件
everest-forms-pro
修复版本
1.9.13
CVE-2026-3300 是 WordPress 的 Everest Forms Pro 插件中的一个远程代码执行 (RCE) 漏洞。该漏洞允许未经身份验证的攻击者在服务器上执行任意 PHP 代码,造成严重的安全风险。受影响的版本包括 1.9.12 及更早版本。此漏洞已在 1.9.13 版本中修复。
CVE-2026-3300 在 WordPress 的 Everest Forms Pro 插件中代表着一个关键的远程代码执行 (RCE) 漏洞。它影响了所有版本,包括 1.9.12 及更早版本,允许攻击者,即使没有身份验证,也能注入恶意 PHP 代码。这个漏洞存在于 Calculation Addon 的 processfilter() 函数中,该函数在将用户提交的表单字段值连接成 PHP 代码字符串,然后传递给 eval() 函数之前,没有进行适当的转义。虽然对输入应用了 sanitizetext_field() 函数,但该函数未能正确转义单引号或其他 PHP 代码上下文字符。这使得攻击者能够在服务器上执行任意代码,从而可能破坏整个 WordPress 网站,包括数据库和其他文件。CVSS 分数为 9.8,表明影响严重且易受攻击。
利用此漏洞需要攻击者能够通过 Everest Forms Pro 管理的、使用 Calculation Addon 的表单提交数据。由于不需要身份验证,攻击者只需创建一个测试表单或使用现有表单即可。攻击者会将恶意 PHP 代码注入到表单字段中的一个。此代码将与其他输入连接,并使用 eval() 函数进行评估,从而允许攻击者在服务器上执行任意代码。由于利用的简单性和漏洞的高度严重性,这使其成为攻击者的有吸引力的目标。
漏洞利用状态
EPSS
0.29% (52% 百分位)
CISA SSVC
减轻 CVE-2026-3300 风险的立即措施是将 Everest Forms Pro 插件更新到 1.9.13 或更高版本。此版本包含修复,解决了 PHP 代码注入漏洞。如果无法立即更新,建议暂时禁用 Calculation Addon,直到可以应用更新。此外,请检查服务器日志中是否存在可能表明先前已受到攻击的任何可疑活动。实施防火墙规则以阻止恶意流量以及定期备份网站是可帮助减少潜在攻击影响的额外预防措施。监控网站文件完整性对于检测未经授权的修改也至关重要。
更新到版本 1.9.13 或更新的已修复版本
漏洞分析和关键警报直接发送到您的邮箱。
RCE 意味着攻击者可以在远程服务器上执行代码,从而获得对系统的控制权。
CVSS 分数 9.8 表示一个严重漏洞,影响严重且易受攻击。
是的,禁用 Calculation Addon 是一个可行的临时解决方案,直到您可以更新插件。
如果您怀疑您的网站已被破坏,请立即更改所有密码,检查文件是否存在未经授权的修改,并考虑恢复干净的备份。
您可以在 WordPress 插件存储库或开发者的网站上找到 Everest Forms Pro 插件的最新版本。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。