Los hackers están explotando activamente una vulnerabilidad crítica, rastreada como **CVE-2026-3300**, en el plugin **Everest Forms Pro**. Esta falla otorga a los atacantes la capacidad de tomar el control completo de un sitio web **WordPress** sin necesidad de autenticación. El problema de seguridad afecta a las versiones 1.9.12 y anteriores del plugin, permitiendo la ejecución remota de código arbitrario no autenticada en el servidor. **Everest Forms Pro** es un complemento comercial para el plugin de creación de formularios de **WordPress**, **Everest Forms**, utilizado ampliamente para crear formularios de contacto, registro, pago y diversas aplicaciones personalizadas. ### Análisis Profundo de CVE-2026-3300 **CVE-2026-3300** reside dentro de la función de Cálculo Complejo del plugin. Esta funcionalidad está diseñada para aceptar valores enviados a través de campos de formulario e incrustarlos en una cadena de código PHP, ejecutando posteriormente el código resultante utilizando la función `eval()` de PHP. Si bien la entrada del usuario pasa por una función `sanitize_text_field()`, este mecanismo de sanitización falla crucialmente en escapar las comillas simples (') u otros caracteres que pueden influir en la sintaxis de PHP. Esta omisión crea un vector de inyección crítico. Como resultado, un atacante puede crear una entrada maliciosa para cerrar prematuramente la cadena deseada, inyectar código PHP arbitrario y luego comentar el resto del código generado. Esta técnica evita con éxito las medidas de seguridad, lo que lleva a la ejecución remota de código en el servidor. ### Anatomía del Ataque Los datos de telemetría de **Wordfence**, un destacado firewall y escáner de malware para **WordPress**, confirman que la vulnerabilidad está siendo explotada activamente en la naturaleza para crear cuentas de administrador maliciosas. **Wordfence** detalló el método de explotación en un [informe](https://www.wordfence.com/blog/2026/06/attackers-actively-exploiting-critical-vulnerability-in-everest-forms-pro-plugin/), explicando: > “El atacante envía un valor para un campo de texto que comienza con una comilla simple para cerrar el literal de cadena envolvente, seguido de una instrucción PHP que llama a `wp_insert_user()` para crear una nueva cuenta de administrador con el nombre de usuario 'diksimarina’. El marcador de comentario final `//` asegura que el resto del código PHP generado, incluida la comilla de cierre, se trate como un comentario y no cause un error de sintaxis. Cuando se procesa el formulario y se evalúa el cálculo, se ejecuta el código PHP inyectado y se crea la cuenta de administrador maliciosa.” ### El Impacto Crítico Obtener acceso a nivel de administrador otorga a los atacantes autoridad total sobre el sitio web comprometido. Esto incluye la capacidad de modificar contenido, instalar plugins y temas maliciosos, plantar backdoors y webshells para acceso persistente, y acceder a bases de datos privadas, lo que representa riesgos significativos para la integridad de los datos y la privacidad del usuario. ### Cronología y Mitigación La vulnerabilidad **CVE-2026-3300** fue enviada inicialmente por el investigador **h0xilo** a través de **Wordfence** en febrero. Los desarrolladores de **Everest Forms** lanzaron un parche para abordar el problema el 18 de marzo. A pesar de la disponibilidad de un parche, la explotación activa comenzó el 13 de abril. **Wordfence** informa haber bloqueado más de 29,300 intentos de explotación desde entonces, lo que destaca la naturaleza generalizada de los ataques.  **Wordfence** indica que los intentos de explotación se originan principalmente de dos direcciones IP específicas: `202.56.2[.]126` y `209.146.60.26`, recomendando que los defensores bloqueen estos indicadores de compromiso (IOCs). Se aconseja encarecidamente a los administradores de sitios web que actualicen inmediatamente **Everest Forms Pro** a la última versión (1.9.13 o posterior). Además, es crucial revisar los archivos de registro y las cuentas de administrador existentes en busca de cualquier actividad sospechosa, particularmente entradas que contengan la cadena “diksimarina”, lo que indica un posible compromiso.