Des pirates exploitent activement une vulnérabilité critique, référencée sous **CVE-2026-3300**, dans le plugin **Everest Forms Pro**. Cette faille accorde aux attaquants la capacité de prendre le contrôle complet d'un site **WordPress** sans nécessiter d'authentification. Le problème de sécurité affecte les versions 1.9.12 et antérieures du plugin, permettant l'exécution de code arbitraire non authentifiée sur le serveur. **Everest Forms Pro** est un module complémentaire commercial pour le plugin de création de formulaires **WordPress** **Everest Forms**, largement utilisé pour créer des formulaires de contact, d'inscription, de paiement et diverses applications personnalisées. ### Analyse approfondie de CVE-2026-3300 **CVE-2026-3300** se trouve dans la fonctionnalité Complex Calculation du plugin. Cette fonctionnalité est conçue pour accepter les valeurs soumises via les champs de formulaire et les intégrer dans une chaîne de code PHP, exécutant ensuite le code résultant à l'aide de la fonction `eval()` de PHP. Bien que les entrées utilisateur soient passées par une fonction `sanitize_text_field()`, ce mécanisme de nettoyage omet crucialement d'échapper les guillemets simples (') ou d'autres caractères pouvant influencer la syntaxe PHP. Cet oubli crée un vecteur d'injection critique. En conséquence, un attaquant peut créer une entrée malveillante pour fermer prématurément la chaîne prévue, injecter du code PHP arbitraire, puis commenter le reste du code généré. Cette technique contourne avec succès les mesures de sécurité, conduisant à l'exécution de code à distance sur le serveur. ### Anatomie de l'attaque Les données de télémétrie de **Wordfence**, un pare-feu et scanner de malware proéminent pour **WordPress**, confirment que la vulnérabilité est activement exploitée dans la nature pour créer des comptes administrateur frauduleux. **Wordfence** a détaillé la méthode d'exploitation dans un [rapport](https://www.wordfence.com/blog/2026/06/attackers-actively-exploiting-critical-vulnerability-in-everest-forms-pro-plugin/), expliquant : > « L'attaquant soumet une valeur pour un champ de texte qui commence par un guillemet simple pour fermer la chaîne littérale englobante, suivi d'une instruction PHP qui appelle `wp_insert_user()` pour créer un nouveau compte administrateur avec le nom d'utilisateur 'diksimarina'. Le marqueur de commentaire // final garantit que le reste du code PHP généré, y compris le guillemet fermant, est traité comme un commentaire et ne provoque pas d'erreur de syntaxe. Lorsque le formulaire est traité et que le calcul est évalué, le code PHP injecté est exécuté et le compte administrateur malveillant est créé. » ### L'impact critique L'obtention d'un accès de niveau administrateur confère aux attaquants une autorité totale sur le site web compromis. Cela inclut la capacité de modifier le contenu, d'installer des plugins et des thèmes malveillants, de planter des backdoors et des webshells pour un accès persistant, et d'accéder à des bases de données privées, présentant des risques importants pour l'intégrité des données et la vie privée des utilisateurs. ### Chronologie et atténuation La vulnérabilité **CVE-2026-3300** a été initialement soumise par le chercheur **h0xilo** via **Wordfence** en février. Les développeurs d'**Everest Forms** ont publié un correctif pour résoudre le problème le 18 mars. Malgré la disponibilité d'un correctif, l'exploitation active a commencé le 13 avril. **Wordfence** rapporte avoir bloqué plus de 29 300 tentatives d'exploitation depuis lors, soulignant la nature généralisée des attaques.  **Wordfence** indique que les tentatives d'exploitation proviennent principalement de deux adresses IP spécifiques : `202.56.2[.]126` et `209.146.60.26`, recommandant aux défenseurs de bloquer ces indicateurs de compromission (IOC). Il est fortement conseillé aux administrateurs de sites web de mettre à jour immédiatement **Everest Forms Pro** vers la dernière version (1.9.13 ou plus récente). De plus, il est crucial d'examiner les fichiers journaux et les comptes administrateur existants pour toute activité suspecte, en particulier les entrées contenant la chaîne « diksimarina », qui indique une compromission potentielle.