## Une RCE dans un plugin WordPress activement exploitée Des acteurs malveillants exploitent activement une faille de sécurité critique dans **Everest Forms Pro**, un plugin **WordPress** populaire comptant environ 4 000 installations actives. Cette exploitation permet une exécution de code arbitraire, pouvant potentiellement mener à une compromission complète des sites web affectés. La vulnérabilité, référencée sous **CVE-2026-3300** (score CVSS : 9.8), est un bug d'exécution de code à distance (RCE) affectant toutes les versions du plugin jusqu'à la version 1.9.12 incluse. Un correctif a été publié le 18 mars 2026, avec la version 1.9.13. Selon **Wordfence**, la faille provient de la fonction `Calculation Addon's process_filter()`. Cette fonction concatène les valeurs des champs de formulaire soumises par l'utilisateur dans une chaîne de code PHP sans échappement approprié avant de la passer à `eval()`, comme détaillé dans leur [article de blog](https://www.wordfence.com/blog/2026/06/attackers-actively-exploiting-critical-vulnerability-in-everest-forms-pro-plugin/). "La fonction `sanitize_text_field()` appliquée aux entrées n'échappe pas les guillemets simples ou d'autres caractères de contexte de code PHP", a expliqué **Wordfence**. "Cela permet aux attaquants non authentifiés d'injecter et d'exécuter du code PHP arbitraire sur le serveur en soumettant une valeur spécialement conçue dans n'importe quel champ de formulaire de type chaîne (texte, email, URL, sélection, radio) lorsque le formulaire utilise la fonctionnalité 'Complex Calculation'." Une exploitation réussie donne aux attaquants non authentifiés la capacité d'exécuter du code PHP arbitraire sur le serveur. Cela peut mener à la création de comptes administrateurs non autorisés, au déploiement de web shells et à l'établissement de points d'ancrage persistants pour une infiltration plus profonde du serveur. Les attaquants ont commencé à exploiter cette vulnérabilité le 13 avril 2026. **Wordfence** rapporte avoir bloqué plus de 29 300 tentatives d'exploit à ce jour, avec 16 tentatives survenues au cours des dernières 24 heures. Un payload courant observé implique la création d'un compte administrateur nommé "diksimarina" avec l'adresse e-mail [email protected] sur les sites compromis, comme noté dans leur [veille sur les menaces](https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/everest-forms-pro/everest-forms-pro-1912-unauthenticated-remote-code-execution-via-calculation-field). Les tentatives d'attaque observées proviennent des adresses IP suivantes : * 202.56.2.126 * 209.146.60.26 * 15.235.166.18 * 2402:1f00:8000:800::40db * 185.78.165.153  ## Des attaques de skimmers e-commerce exploitent des services de confiance pour le C2 Dans l'actualité connexe, **Sansec** a révélé plusieurs campagnes de skimming qui exploitent ingénieusement des services de confiance comme **Stripe** pour le command-and-control (C2) et l'exfiltration de données. Cette tactique exploite la réputation de ces marques pour contourner les règles de **Content Security Policy** (CSP) et les filtres réseau. "L'attaquant traite **Stripe** comme une infrastructure gratuite, pas comme un moyen de blanchir des transactions", a noté **Sansec** dans sa [recherche](https://sansec.io/research/stripe-api-skimmer-infrastructure). "**Stripe** leur fournit une base de données inscriptible pour les cartes volées et un point d'accès pour l'hébergement du code du skimmer, le tout derrière un domaine que les règles CSP et les filtres réseau font confiance par défaut." Ces campagnes s'appuient sur les domaines **Google Tag Manager** (GTM) et **Stripe** (googletagmanager.com et api.stripe.com), qui sont implicitement approuvés par les boutiques en ligne. Le code malveillant est chargé depuis un conteneur GTM et exécuté sur chaque page où il est présent. Sur les pages de paiement **Magento** et **Adobe Commerce**, un skimmer obfusqué est extrait d'un champ de métadonnées d'un [compte client Stripe](https://docs.stripe.com/api/customers/) (par exemple, "cus_TfFjAAZQNOYENR"). Il enregistre ensuite les informations financières, les détails de facturation, les adresses e-mail et les numéros de téléphone dans [localStorage](https://developer.mozilla.org/en-US/docs/Web/API/Window/localStorage) avant d'exfiltrer les données capturées vers le compte **Stripe** de l'attaquant. "Chaque carte volée devient un 'client' dans le compte de l'attaquant", a déclaré la société de sécurité e-commerce. "En cas de succès, le chargeur supprime l'entrée `localStorage`, de sorte que le même enregistrement n'est pas envoyé deux fois. L'attaquant liste plus tard ses cartes volées en appelant la même API avec la même clé. La base de données clients de **Stripe** devient un réceptacle d'exfiltration gratuit et durable." L'enregistrement client **Stripe** contenant le skimmer aurait été créé le 24 décembre 2025, suggérant une opération de longue durée. **Sansec** a également identifié une variante utilisant **Google Firestore** à la place de **Stripe**, démontrant une stratégie plus large d'abus de services de confiance comme canaux discrets. Ces découvertes coïncident avec une opération à grande échelle baptisée **GorgonAgora**, qui a utilisé un cluster de 5 714 faux sites marchands .shop. Ces sites imposteurs imitent des marques populaires comme Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney et Toyota, acheminant les données de cartes volées de leurs pages de paiement vers un unique serveur de skimmer en Moldavie. Cette campagne est active depuis août 2025, comme détaillé dans le [rapport de Sansec](https://sansec.io/research/gorgonagora-fake-storefront-skimming-network). "Chaque magasin exécute la même pile e-commerce **Medusa.js** et charge le même SDK de paiement personnalisé, qui rend un faux iframe **Stripe** et exfiltre les données de carte via un WebSocket crypté vers un seul serveur en Moldavie", a précisé la société néerlandaise. L'exfiltration au sein de **GorgonAgora** utilise WebSocket avec un payload **AES-256-GCM**. L'infrastructure C2 maintient un relais **3D Secure** actif, transmettant les défis bancaires au client via le faux iframe pour finaliser les transactions et maintenir le vol invisible.