## RCE in WordPress-Plugin wird aktiv ausgenutzt Bedrohungsakteure nutzen aktiv eine kritische Sicherheitslücke in **Everest Forms Pro**, einem beliebten **WordPress**-Plugin mit rund 4.000 aktiven Installationen. Diese Ausnutzung ermöglicht die beliebige Codeausführung und kann potenziell zu einer vollständigen Kompromittierung betroffener Websites führen. Die Schwachstelle, die als **CVE-2026-3300** (CVSS-Score: 9,8) verfolgt wird, ist ein Remote Code Execution (RCE)-Fehler, der alle Versionen des Plugins bis einschließlich 1.9.12 betrifft. Ein Patch wurde am 18. März 2026 mit Version 1.9.13 veröffentlicht. Laut **Wordfence** rührt die Schwachstelle von der `Calculation Addon's process_filter()`-Funktion her. Diese Funktion verkettet vom Benutzer übermittelte Formularfeldwerte zu einem PHP-Code-String, ohne diese ordnungsgemäß zu escapen, bevor sie an `eval()` übergeben werden, wie in ihrem [Blogbeitrag](https://www.wordfence.com/blog/2026/06/attackers-actively-exploiting-critical-vulnerability-in-everest-forms-pro-plugin/) detailliert beschrieben. "Die auf die Eingabe angewendete Funktion `sanitize_text_field()` escapet keine einfachen Anführungszeichen oder andere Zeichen im PHP-Code-Kontext", erklärte **Wordfence**. "Dies ermöglicht es nicht authentifizierten Angreifern, beliebigen PHP-Code auf dem Server einzuschleusen und auszuführen, indem sie einen präparierten Wert in einem beliebigen textbasierten Formularfeld (Text, E-Mail, URL, Auswahl, Radio) übermitteln, wenn ein Formular die Funktion 'Komplexe Berechnung' verwendet." Eine erfolgreiche Ausnutzung ermöglicht es nicht authentifizierten Angreifern, beliebigen PHP-Code auf dem Server auszuführen. Dies kann zur Erstellung von bösartigen Administratorkonten, zur Bereitstellung von Web-Shells und zur Etablierung persistenter Einfallstore für tiefere Serverinfiltrationen führen. Angreifer begannen am 13. April 2026 mit der Ausnutzung dieser Schwachstelle. **Wordfence** berichtet, bisher über 29.300 Exploit-Versuche blockiert zu haben, davon 16 Versuche in den letzten 24 Stunden. Eine häufig beobachtete payload beinhaltete die Erstellung eines Administrator-Kontos namens "diksimarina" mit der E-Mail-Adresse [email protected] auf kompromittierten Websites, wie in ihrer [Threat Intelligence](https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/everest-forms-pro/everest-forms-pro-1912-unauthenticated-remote-code-execution-via-calculation-field) vermerkt. Beobachtete Angriffsversuche stammten von den folgenden IP-Adressen: * 202.56.2.126 * 209.146.60.26 * 15.235.166.18 * 2402:1f00:8000:800::40db * 185.78.165.153  ## E-Commerce-Skimmer-Angriffe nutzen vertrauenswürdige Dienste für C2 In verwandten Nachrichten hat **Sansec** mehrere Skimmer-Kampagnen aufgedeckt, die vertrauenswürdige Dienste wie **Stripe** für Command-and-Control (C2) und Datenexfiltration auf clevere Weise nutzen. Diese Taktik nutzt den Ruf dieser Marken aus, um **Content Security Policy** (CSP)-Regeln und Netzwerkfilter zu umgehen. "Der Angreifer behandelt **Stripe** als kostenlose Infrastruktur, nicht als Mittel zur Geldwäsche von Transaktionen", bemerkte **Sansec** in seiner [Forschung](https://sansec.io/research/stripe-api-skimmer-infrastructure). "**Stripe** bietet ihnen eine beschreibbare Datenbank für gestohlene Karten und einen Code-Hosting-Endpunkt für den Skimmer, beides hinter einer Domain, der CSP-Regeln und Netzwerkfilter standardmäßig vertrauen." Diese Kampagnen basieren auf **Google Tag Manager** (GTM) und **Stripe**-Domains (googletagmanager.com und api.stripe.com), denen Online-Shops implizit vertrauen. Bösartiger Code wird aus einem GTM-Container geladen und auf jeder Seite ausgeführt, auf der er vorhanden ist. Auf den Checkout-Seiten von **Magento** und **Adobe Commerce** wird ein obfuskierter Skimmer aus einem Metadatenfeld eines **Stripe**-Kundenkontos (z. B. "cus_TfFjAAZQNOYENR") extrahiert. Anschließend werden Finanzinformationen, Rechnungsdetails, E-Mail-Adressen und Telefonnummern in [localStorage](https://developer.mozilla.org/en-US/docs/Web/API/Window/localStorage) gespeichert, bevor die erfassten Daten an das **Stripe**-Konto des Angreifers zurückexfiltriert werden. "Jede gestohlene Karte wird zu einem 'Kunden' im Konto des Angreifers", erklärte das E-Commerce-Sicherheitsunternehmen. "Bei Erfolg löscht der Loader den `localStorage`-Eintrag, sodass derselbe Datensatz nicht zweimal gesendet wird. Der Angreifer listet seine gestohlenen Karten später auf, indem er dieselbe API mit demselben Schlüssel aufruft. Die Kundendatenbank von **Stripe** wird zu einem kostenlosen, dauerhaften Exfiltrations-Sink." Der **Stripe**-Kunden-Datensatz, der den Skimmer enthielt, wurde Berichten zufolge am 24. Dezember 2025 erstellt, was auf eine lang laufende Operation hindeutet. **Sansec** identifizierte auch eine Variante, die **Google Firestore** anstelle von **Stripe** verwendet, was eine breitere Strategie zur missbräuchlichen Nutzung vertrauenswürdiger Dienste als verdeckte Kanäle zeigt. Diese Erkenntnisse fallen mit einer groß angelegten Operation namens **GorgonAgora** zusammen, die einen Cluster von 5.714 gefälschten .shop-Storefronts genutzt hat. Diese gefälschten Websites imitieren beliebte Marken wie Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney und Toyota und leiten gestohlene Kartendaten von ihren Checkout-Seiten an einen einzigen Skimmer-Server in Moldawien weiter. Diese Kampagne ist seit August 2025 aktiv, wie in [Sansecs Bericht](https://sansec.io/research/gorgonagora-fake-storefront-skimming-network) detailliert beschrieben. "Jeder Shop verwendet denselben **Medusa.js** Commerce-Stack und lädt dasselbe benutzerdefinierte Checkout-SDK, das einen gefälschten **Stripe**-iframe rendert und Kartendaten über einen verschlüsselten WebSocket an einen einzigen Server in Moldawien exfiltriert", so das niederländische Unternehmen. Die Exfiltration innerhalb von **GorgonAgora** verwendet WebSocket mit einer **AES-256-GCM**-Payload. Die C2-Infrastruktur unterhält einen Live **3D Secure**-Relay, der Bank-Challenges über den gefälschten iframe an den Käufer weiterleitet, um Transaktionen abzuschließen und den Diebstahl unsichtbar zu halten.