## Plugin de WordPress con RCE Bajo Explotación Activa Actores de amenazas están aprovechando activamente una falla de seguridad crítica en **Everest Forms Pro**, un popular plugin de **WordPress** con aproximadamente 4,000 instalaciones activas. Esta explotación permite la ejecución arbitraria de código, lo que potencialmente lleva a un compromiso total de los sitios web afectados. La vulnerabilidad, rastreada como **CVE-2026-3300** (puntuación CVSS: 9.8), es un error de ejecución remota de código (RCE) que afecta a todas las versiones del plugin hasta la 1.9.12 inclusive. Se lanzó un parche el 18 de marzo de 2026, con la versión 1.9.13. Según **Wordfence**, la falla se origina en la función `Calculation Addon's process_filter()`. Esta función concatena los valores de los campos del formulario enviados por el usuario en una cadena de código PHP sin el escape adecuado antes de pasarlo a `eval()`, como se detalla en su [publicación de blog](https://www.wordfence.com/blog/2026/06/attackers-actively-exploiting-critical-vulnerability-in-everest-forms-pro-plugin/). "La función `sanitize_text_field()` aplicada a la entrada no escapa las comillas simples u otros caracteres de contexto de código PHP", explicó **Wordfence**. "Esto permite que atacantes no autenticados inyecten y ejecuten código PHP arbitrario en el servidor enviando un valor manipulado en cualquier campo de formulario de tipo texto (texto, correo electrónico, URL, selección, radio) cuando un formulario utiliza la función 'Cálculo Complejo'." La explotación exitosa otorga a los atacantes no autenticados la capacidad de ejecutar código PHP arbitrario en el servidor. Esto puede llevar a la creación de cuentas de administrador no autorizadas, el despliegue de web shells y el establecimiento de puntos de apoyo persistentes para una infiltración más profunda del servidor. Los atacantes comenzaron a explotar esta vulnerabilidad el 13 de abril de 2026. **Wordfence** informa haber bloqueado más de 29,300 intentos de explotación hasta la fecha, con 16 intentos ocurriendo en las últimas 24 horas. Un payload común observado implica la creación de una cuenta de administrador llamada "diksimarina" con la dirección de correo electrónico [email protected] en sitios comprometidos, como se señala en su [inteligencia de amenazas](https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/everest-forms-pro/everest-forms-pro-1912-unauthenticated-remote-code-execution-via-calculation-field). Los intentos de ataque observados se originaron en las siguientes direcciones IP: * 202.56.2.126 * 209.146.60.26 * 15.235.166.18 * 2402:1f00:8000:800::40db * 185.78.165.153  ## Ataques de Skimming de Comercio Electrónico Explotan Servicios de Confianza para C2 En noticias relacionadas, **Sansec** ha revelado múltiples campañas de skimming que ingeniosamente aprovechan servicios de confianza como **Stripe** para el control y la exfiltración de datos (C2). Esta táctica explota la reputación de estas marcas para eludir las reglas de **Content Security Policy** (CSP) y los filtros de red. "El atacante trata a **Stripe** como infraestructura gratuita, no como una forma de lavar cargos", señaló **Sansec** en su [investigación](https://sansec.io/research/stripe-api-skimmer-infrastructure). "**Stripe** les proporciona una base de datos escribible para tarjetas robadas y un punto final de alojamiento de código para el skimmer, ambos detrás de un dominio en el que las reglas CSP y los filtros de red confían por defecto." Estas campañas dependen de los dominios de **Google Tag Manager** (GTM) y **Stripe** (googletagmanager.com y api.stripe.com), que son implícitamente confiables por las tiendas en línea. El código malicioso se carga desde un contenedor de GTM y se ejecuta en cada página donde está presente. En las páginas de pago de **Magento** y **Adobe Commerce**, se extrae un skimmer ofuscado de un campo de metadatos de la [cuenta de cliente de Stripe](https://docs.stripe.com/api/customers/) (por ejemplo, "cus_TfFjAAZQNOYENR"). Luego, guarda información financiera, detalles de facturación, direcciones de correo electrónico y números de teléfono en [localStorage](https://developer.mozilla.org/en-US/docs/Web/API/Window/localStorage) antes de exfiltrar los datos capturados de regreso a la cuenta de **Stripe** del atacante. "Cada tarjeta robada se convierte en un 'cliente' en la cuenta del atacante", afirmó la empresa de seguridad de comercio electrónico. "Al tener éxito, el cargador elimina la entrada de `localStorage`, por lo que el mismo registro no se envía dos veces. El atacante lista sus tarjetas robadas más tarde llamando a la misma API con la misma clave. La base de datos de clientes de **Stripe** se convierte en un sumidero de exfiltración gratuito y duradero." Se informó que el registro de cliente de **Stripe** que contiene el skimmer se creó el 24 de diciembre de 2025, lo que sugiere una operación de larga duración. **Sansec** también identificó una variante que utiliza **Google Firestore** en lugar de **Stripe**, lo que demuestra una estrategia más amplia para abusar de servicios de confianza como canales encubiertos. Estos hallazgos coinciden con una operación a gran escala denominada **GorgonAgora**, que ha utilizado un clúster de 5,714 tiendas en línea falsas (.shop). Estos sitios impostores imitan marcas populares como Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney y Toyota, canalizando datos de tarjetas robadas de sus páginas de pago a un único servidor de skimmer en Moldavia. Esta campaña ha estado activa desde agosto de 2025, como se detalla en el [informe de Sansec](https://sansec.io/research/gorgonagora-fake-storefront-skimming-network). "Cada tienda ejecuta la misma pila de comercio **Medusa.js** y carga el mismo SDK de pago personalizado, que renderiza un iframe falso de **Stripe** y exfiltra datos de tarjetas a través de un WebSocket cifrado a un único servidor en Moldavia", detalló la empresa holandesa. La exfiltración dentro de **GorgonAgora** utiliza WebSocket con un payload **AES-256-GCM**. La infraestructura de C2 mantiene un relé de **3D Secure** en vivo, reenviando los desafíos bancarios al comprador a través del iframe falso para completar las transacciones y mantener el robo invisible.