ハッカーは、Everest Forms Proプラグインの重大な脆弱性であるCVE-2026-3300を積極的に悪用しています。この脆弱性により、攻撃者は認証を必要とせずにWordPressサイトを完全に制御できるようになります。 このセキュリティ問題は、プラグインのバージョン1.9.12以前に影響を与え、サーバー上で認証なしの任意のコード実行を可能にします。Everest Forms Proは、WordPressのフォームビルダープラグインEverest Formsの商用アドオンであり、連絡先、登録、支払い、およびさまざまなカスタムアプリケーションフォームの作成に広く使用されています。 ### CVE-2026-3300の詳細 CVE-2026-3300は、プラグインのComplex Calculation機能内に存在します。この機能は、フォームフィールドから送信された値を受け取り、それをPHPコード文字列に埋め込み、PHPの`eval()`関数を使用して結果のコードを実行するように設計されています。 ユーザー入力は`sanitize_text_field()`関数を通過しますが、このサニタイズメカニズムは、PHP構文に影響を与える可能性のある単一引用符（'）やその他の文字をエスケープすることに失敗します。この見落としが、重大なインジェクションベクトルを作成します。 その結果、攻撃者は悪意のある入力を作成して、意図された文字列を早期に閉じ、任意のPHPコードを挿入し、その後、残りの生成されたコードをコメントアウトすることができます。この手法はセキュリティ対策を効果的に回避し、サーバー上でのリモートコード実行につながります。 ### 攻撃の構造 WordPress向けの著名なファイアウォールおよびマルウェアスキャナーであるWordfenceからのテレメトリデータは、この脆弱性が不正な管理者アカウントを作成するために実際に悪用されていることを確認しています。 Wordfenceは、[レポート](https://www.wordfence.com/blog/2026/06/attackers-actively-exploiting-critical-vulnerability-in-everest-forms-pro-plugin/)で攻撃方法を詳細に説明しており、次のように述べています。 > 「攻撃者は、単一引用符で始まるテキストフィールドの値を送信して、ラップする文字列リテラルを閉じ、その後、ユーザー名「diksimarina」を持つ新しい管理者アカウントを作成するために`wp_insert_user()`を呼び出すPHPステートメントを続けます。末尾の`//`コメントマーカーは、残りの生成されたPHPコード（閉じ引用符を含む）がコメントとして扱われ、構文エラーを引き起こさないことを保証します。フォームが処理され、計算が評価されると、挿入されたPHPコードが実行され、悪意のある管理者アカウントが作成されます。」 ### 重大な影響 管理者レベルのアクセス権を取得すると、攻撃者は侵害されたWebサイトに対して完全な権限を持つことになります。これには、コンテンツの変更、悪意のあるプラグインやテーマのインストール、永続的なアクセスを目的としたバックドアやウェブシェルの設置、プライベートデータベースへのアクセスなどが含まれ、データの整合性やユーザーのプライバシーに重大なリスクをもたらします。 ### タイムラインと緩和策 CVE-2026-3300の脆弱性は、当初2月に研究者h0xiloによってWordfenceを通じて提出されました。Everest Formsの開発者は、3月18日に問題に対処するパッチをリリースしました。 パッチが利用可能であるにもかかわらず、4月13日に実際の悪用が開始されました。Wordfenceは、それ以降29,300件以上の悪用試行をブロックしたと報告しており、攻撃の広範な性質を強調しています。  Wordfenceは、悪用試行が主に2つの特定のIPアドレス、`202.56.2[.]126`および`209.146.60.26`から発生していると示しており、防御者に対してこれらの侵害の兆候（IOC）をブロックすることを推奨しています。 Webサイト管理者は、Everest Forms Proを最新バージョン（1.9.13以降）に直ちに更新することを強く推奨します。さらに、ログファイルや既存の管理者アカウントを、特に「diksimarina」という文字列を含む不審なアクティビティがないか確認することが重要です。これは、潜在的な侵害を示している可能性があります。