## RCE em Plugin do WordPress Sob Exploração Ativa Atores de ameaças estão explorando ativamente uma falha de segurança crítica no **Everest Forms Pro**, um popular plugin para **WordPress** com aproximadamente 4.000 instalações ativas. Essa exploração permite a execução arbitrária de código, potencialmente levando a um comprometimento completo dos sites afetados. A vulnerabilidade, rastreada como **CVE-2026-3300** (pontuação CVSS: 9.8), é um bug de execução remota de código (RCE) que afeta todas as versões do plugin até a 1.9.12, inclusive. Uma correção foi lançada em 18 de março de 2026, com a versão 1.9.13. De acordo com a **Wordfence**, a falha se origina da função `Calculation Addon's process_filter()`. Essa função concatena valores de campos de formulário enviados pelo usuário em uma string de código PHP sem o devido escape antes de passá-la para `eval()`, conforme detalhado em seu [post de blog](https://www.wordfence.com/blog/2026/06/attackers-actively-exploiting-critical-vulnerability-in-everest-forms-pro-plugin/). "A função `sanitize_text_field()` aplicada à entrada não escapa aspas simples ou outros caracteres de contexto de código PHP", explicou a **Wordfence**. "Isso permite que atacantes não autenticados injetem e executem código PHP arbitrário no servidor, enviando um valor malicioso em qualquer campo de formulário do tipo string (texto, e-mail, URL, select, rádio) quando um formulário utiliza o recurso 'Complex Calculation'." A exploração bem-sucedida concede aos atacantes não autenticados a capacidade de executar código PHP arbitrário no servidor. Isso pode levar à criação de contas de administrador maliciosas, implantação de web shells e o estabelecimento de pontos de apoio persistentes para infiltração mais profunda no servidor. Os atacantes começaram a explorar essa vulnerabilidade em 13 de abril de 2026. A **Wordfence** relata ter bloqueado mais de 29.300 tentativas de exploração até o momento, com 16 tentativas ocorrendo nas últimas 24 horas. Um payload comum observado envolve a criação de uma conta de administrador chamada "diksimarina" com o endereço de e-mail [email protected] em sites comprometidos, conforme observado em sua [inteligência de ameaças](https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/everest-forms-pro/everest-forms-pro-1912-unauthenticated-remote-code-execution-via-calculation-field). Tentativas de ataque observadas originaram-se dos seguintes endereços IP: * 202.56.2.126 * 209.146.60.26 * 15.235.166.18 * 2402:1f00:8000:800::40db * 185.78.165.153  ## Ataques de Skimming de E-commerce Usam Serviços Confiáveis para C2 Em notícias relacionadas, a **Sansec** revelou múltiplas campanhas de skimming que utilizam de forma engenhosa serviços confiáveis como **Stripe** para comando e controle (C2) e exfiltração de dados. Essa tática explora a reputação dessas marcas para contornar regras de **Content Security Policy** (CSP) e filtros de rede. "O atacante trata o **Stripe** como infraestrutura gratuita, não como uma forma de lavar cobranças", observou a **Sansec** em sua [pesquisa](https://sansec.io/research/stripe-api-skimmer-infrastructure). "O **Stripe** fornece a eles um banco de dados gravável para cartões roubados e um endpoint de hospedagem de código para o skimmer, ambos por trás de um domínio que as regras de CSP e os filtros de rede confiam por padrão." Essas campanhas dependem de domínios do **Google Tag Manager** (GTM) e **Stripe** (googletagmanager.com e api.stripe.com), que são implicitamente confiáveis pelas lojas online. Código malicioso é carregado de um contêiner GTM e executado em todas as páginas onde está presente. Nas páginas de checkout de **Magento** e **Adobe Commerce**, um skimmer ofuscado é extraído do campo de metadados de uma [conta de cliente Stripe](https://docs.stripe.com/api/customers/) (por exemplo, "cus_TfFjAAZQNOYENR"). Em seguida, ele salva informações financeiras, detalhes de faturamento, endereços de e-mail e números de telefone no [localStorage](https://developer.mozilla.org/en-US/docs/Web/API/Window/localStorage) antes de exfiltrar os dados capturados de volta para a conta **Stripe** do atacante. "Cada cartão roubado se torna um 'cliente' na conta do atacante", declarou a empresa de segurança de e-commerce. "Em caso de sucesso, o loader exclui a entrada do `localStorage`, para que o mesmo registro não seja enviado duas vezes. O atacante lista seus cartões roubados posteriormente, chamando a mesma API com a mesma chave. O banco de dados de clientes do **Stripe** se torna um destino de exfiltração gratuito e duradouro." O registro de cliente **Stripe** contendo o skimmer foi supostamente criado em 24 de dezembro de 2025, sugerindo uma operação de longa duração. A **Sansec** também identificou uma variante usando **Google Firestore** em vez de **Stripe**, demonstrando uma estratégia mais ampla para abusar de serviços confiáveis como canais ocultos. Essas descobertas coincidem com uma operação em larga escala denominada **GorgonAgora**, que utilizou um cluster de 5.714 lojas virtuais falsas com domínio .shop. Esses sites impostores imitam marcas populares como Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney e Toyota, direcionando dados de cartões roubados de suas páginas de checkout para um único servidor de skimmer na Moldávia. Essa campanha está ativa desde agosto de 2025, conforme detalhado no [relatório da Sansec](https://sansec.io/research/gorgonagora-fake-storefront-skimming-network). "Cada loja executa a mesma pilha de comércio **Medusa.js** e carrega o mesmo SDK de checkout personalizado, que renderiza um iframe **Stripe** falso e exfiltra dados de cartão por meio de um WebSocket criptografado para um único servidor na Moldávia", detalhou a empresa holandesa. A exfiltração dentro do **GorgonAgora** usa WebSocket com um payload **AES-256-GCM**. A infraestrutura de C2 mantém um relay de **3D Secure** ativo, encaminhando os desafios do banco de volta para o comprador por meio do iframe falso para completar as transações e manter o roubo invisível.