Hackers estão explorando ativamente uma vulnerabilidade crítica, rastreada como **CVE-2026-3300**, no plugin **Everest Forms Pro**. Essa falha concede aos atacantes a capacidade de assumir o controle completo de um site **WordPress** sem a necessidade de autenticação. O problema de segurança afeta as versões 1.9.12 e anteriores do plugin, permitindo a execução de código arbitrário não autenticado no servidor. **Everest Forms Pro** é um add-on comercial para o plugin construtor de formulários **WordPress** **Everest Forms**, amplamente utilizado para criar formulários de contato, registro, pagamento e diversas aplicações personalizadas. ### Análise Profunda da CVE-2026-3300 A **CVE-2026-3300** reside na funcionalidade Complex Calculation do plugin. Essa funcionalidade foi projetada para aceitar valores submetidos através de campos de formulário e incorporá-los em uma string de código PHP, executando subsequentemente o código resultante usando a função `eval()` do PHP. Embora a entrada do usuário seja passada por uma função `sanitize_text_field()`, esse mecanismo de sanitização falha crucialmente em escapar as aspas simples (') ou outros caracteres que podem influenciar a sintaxe PHP. Essa omissão cria um vetor de injeção crítico. Como resultado, um atacante pode criar uma entrada maliciosa para fechar prematuramente a string pretendida, injetar código PHP arbitrário e, em seguida, comentar o restante do código gerado. Essa técnica contorna com sucesso as medidas de segurança, levando à execução remota de código no servidor. ### Anatomia do Ataque Dados de telemetria do **Wordfence**, um proeminente firewall e scanner de malware para **WordPress**, confirmam que a vulnerabilidade está sendo ativamente explorada na natureza para criar contas de administrador maliciosas. O **Wordfence** detalhou o método de exploração em um [relatório](https://www.wordfence.com/blog/2026/06/attackers-actively-exploiting-critical-vulnerability-in-everest-forms-pro-plugin/), explicando: > “O atacante submete um valor para um campo de texto que começa com uma aspa simples para fechar o literal da string de encapsulamento, seguido por uma instrução PHP que chama `wp_insert_user()` para criar uma nova conta de administrador com o nome de usuário 'diksimarina’. O marcador de comentário final `//` garante que o restante do código PHP gerado, incluindo a aspa de fechamento, seja tratado como um comentário e não cause um erro de sintaxe. Quando o formulário é processado e o cálculo é avaliado, o código PHP injetado é executado e a conta de administrador maliciosa é criada.” ### O Impacto Crítico Obter acesso em nível de administrador concede aos atacantes autoridade total sobre o site comprometido. Isso inclui a capacidade de modificar conteúdo, instalar plugins e temas maliciosos, plantar backdoors e webshells para acesso persistente, e acessar bancos de dados privados, representando riscos significativos para a integridade dos dados e a privacidade do usuário. ### Cronograma e Mitigação A vulnerabilidade **CVE-2026-3300** foi inicialmente submetida pelo pesquisador **h0xilo** através do **Wordfence** em fevereiro. Os desenvolvedores do **Everest Forms** lançaram um patch corrigindo o problema em 18 de março. Apesar da disponibilidade de um patch, a exploração ativa começou em 13 de abril. O **Wordfence** relata ter bloqueado mais de 29.300 tentativas de exploração desde então, destacando a natureza generalizada dos ataques.  O **Wordfence** indica que as tentativas de exploração se originam principalmente de dois endereços IP específicos: `202.56.2[.]126` e `209.146.60.26`, recomendando que os defensores bloqueiem esses indicadores de comprometimento (IOCs). Administradores de sites são fortemente aconselhados a atualizar imediatamente o **Everest Forms Pro** para a versão mais recente (1.9.13 ou superior). Além disso, é crucial revisar os arquivos de log e as contas de administrador existentes em busca de qualquer atividade suspeita, particularmente entradas contendo a string “diksimarina”, que indicam um potencial comprometimento.