Angreifer nutzen aktiv eine kritische Schwachstelle, die als **CVE-2026-3300** verfolgt wird, im **Everest Forms Pro**-Plugin aus. Diese Schwachstelle gewährt Angreifern die Fähigkeit, die vollständige Kontrolle über eine **WordPress**-Website zu erlangen, ohne eine Authentifizierung zu benötigen. Das Sicherheitsproblem betrifft die Versionen 1.9.12 und früher des Plugins und ermöglicht eine nicht authentifizierte beliebige Codeausführung auf dem Server. **Everest Forms Pro** ist ein kommerzielles Add-on für das **WordPress**-Formular-Plugin **Everest Forms**, das weit verbreitet zur Erstellung von Kontakt-, Registrierungs-, Zahlungs- und verschiedenen benutzerdefinierten Anwendungsformularen verwendet wird. ### Tiefere Analyse von CVE-2026-3300 **CVE-2026-3300** befindet sich innerhalb der Funktion "Complex Calculation" des Plugins. Diese Funktionalität ist darauf ausgelegt, über Formularfelder übermittelte Werte zu akzeptieren und diese in eine PHP-Code-Zeichenkette einzubetten, die anschließend den resultierenden Code mithilfe der `eval()`-Funktion von PHP ausführt. Obwohl Benutzereingaben über eine `sanitize_text_field()`-Funktion geleitet werden, versäumt dieser Bereinigungsmechanismus entscheidend, einfache Anführungszeichen (') oder andere Zeichen, die die PHP-Syntax beeinflussen können, zu escapen. Dieses Versäumnis schafft einen kritischen Injektionsvektor. Infolgedessen kann ein Angreifer bösartige Eingaben erstellen, um die beabsichtigte Zeichenkette vorzeitig zu schließen, beliebigen PHP-Code einzuschleusen und dann den verbleibenden generierten Code auszukommentieren. Diese Technik umgeht erfolgreich Sicherheitsmaßnahmen und führt zur Remote Code Execution auf dem Server. ### Anatomie des Angriffs Telemetriedaten von **Wordfence**, einer führenden Firewall und Malware-Scanner für **WordPress**, bestätigen, dass die Schwachstelle aktiv in freier Wildbahn ausgenutzt wird, um bösartige Administrator-Konten zu erstellen. **Wordfence** beschrieb die Ausnutzungsmethode in einem [Bericht](https://www.wordfence.com/blog/2026/06/attackers-actively-exploiting-critical-vulnerability-in-everest-forms-pro-plugin/), in dem es heißt: > „Der Angreifer übermittelt einen Wert für ein Textfeld, der mit einem einfachen Anführungszeichen beginnt, um das umschließende String-Literal zu schließen, gefolgt von einer PHP-Anweisung, die `wp_insert_user()` aufruft, um ein neues Administrator-Konto mit dem Benutzernamen 'diksimarina' zu erstellen. Das nachfolgende // Kommentarzeichen stellt sicher, dass der Rest des generierten PHP-Codes, einschließlich des schließenden Anführungszeichens, als Kommentar behandelt wird und keinen Syntaxfehler verursacht. Wenn das Formular verarbeitet und die Berechnung ausgewertet wird, wird der eingeschleuste PHP-Code ausgeführt und das bösartige Administrator-Konto erstellt.“ ### Die kritischen Auswirkungen Der Erhalt von Administrator-Zugriff gewährt Angreifern die volle Autorität über die kompromittierte Website. Dies beinhaltet die Möglichkeit, Inhalte zu ändern, bösartige Plugins und Themes zu installieren, Backdoors und Webshells für persistenten Zugriff zu platzieren und auf private Datenbanken zuzugreifen, was erhebliche Risiken für die Datenintegrität und die Privatsphäre der Benutzer birgt. ### Zeitplan und Abhilfemaßnahmen Die Schwachstelle **CVE-2026-3300** wurde ursprünglich im Februar vom Forscher **h0xilo** über **Wordfence** eingereicht. Die Entwickler von **Everest Forms** veröffentlichten am 18. März einen Patch zur Behebung des Problems. Trotz der Verfügbarkeit eines Patches begann die aktive Ausnutzung am 13. April. **Wordfence** berichtet, seitdem über 29.300 Ausnutzungsversuche blockiert zu haben, was die weit verbreitete Natur der Angriffe unterstreicht.  **Wordfence** gibt an, dass die Ausnutzungsversuche hauptsächlich von zwei spezifischen IP-Adressen stammen: `202.56.2[.]126` und `209.146.60.26`, und empfiehlt Verteidigern, diese Indikatoren für Kompromittierung (IOCs) zu blockieren. Website-Administratoren wird dringend empfohlen, **Everest Forms Pro** sofort auf die neueste Version (1.9.13 oder neuer) zu aktualisieren. Darüber hinaus ist es unerlässlich, Protokolldateien und bestehende Administrator-Konten auf verdächtige Aktivitäten zu überprüfen, insbesondere auf Einträge, die die Zeichenkette „diksimarina“ enthalten, was auf eine potenzielle Kompromittierung hinweist.