Thought Leadership
Eine kritische Sicherheitslücke im WordPress-Plugin Everest Forms Pro wird für Cyberangriffe ausgenutzt. Angreifer erstellen unbemerkt Admin-Konten.
Die Sicherheitsfirma Defiant hat vor der aktiven Ausnutzung einer kritischen Sicherheitslücke in dem kommerziellen WordPress-Plugin Everest Forms Pro gewarnt. Der Fehler wird unter der Kennung CVE-2026-3300 geführt und weist eine Kritikalitätsstufe von 9,8 auf der CVSS-Skala auf. Betroffen sind alle Programmversionen bis einschließlich 1.9.12. Die Schwachstelle befindet sich im Berechnungs-Add-on des Plugins, genauer in der Funktion namens process_filter. Diese Komponente verarbeitet mathematische Formeln und führt die Eingaben über die PHP-Funktion eval aus. Da die angewendete Bereinigungsfunktion namens sanitize_text_field einfache Anführungszeichen nicht maskiert, können unauthentifizierte Angreifer Schadcode über öffentliche Formularfelder einschleusen.
„Dies macht es für unauthentifizierte Angreifer möglich, beliebigen PHP-Code auf dem Server einzuschleusen und auszuführen, indem sie einen manipulierten Wert in ein beliebiges Zeichenfolgen-Formularfeld (Text, E-Mail, URL, Auswahl, Radio) übermitteln, wenn ein Formular die Funktion ‚Komplexe Berechnung‘ verwendet.“
Sicherheitsanalysten von Defiant
Der Angriff erfordert keinerlei Benutzerinteraktion oder Anmeldung auf der betroffenen Webseite. Ein manipulierter Wert mit einem einfachen Anführungszeichen reicht aus, um die vorgesehene PHP-Zeichenkette zu schließen und eigenen Code auf dem Server auszuführen.
Hacker wollen Kontrolle über WordPress-Webseiten erlangen
Die aktive Ausnutzung der Schwachstelle im Internet begann am 13. April 2026, etwa zwei Wochen nach der ersten Veröffentlichung der Sicherheitswarnung. Die Telemetriedaten des Sicherheitsdienstes Wordfence verzeichneten seither mehr als 29.300 blockierte Angriffsversuche, wobei allein an einem einzigen Tag im Mai über 17.900 Anfragen abgewehrt wurden. Das primäre Ziel der Angreifer besteht darin, die vollständige Kontrolle über die betroffenen Webseiten zu erlangen. Hierzu werden administrative Benutzerkonten angelegt oder Web-Shells für den dauerhaften Fernzugriff hinterlegt.
Administratoren können betroffene Systeme anhand konkreter Anzeichen überprüfen. Bei den bisher beobachteten Angriffswellen versuchten die Akteure meist, ein neues Administratorkonto mit dem Benutzernamen diksimarina und der E-Mail-Adresse [email protected] zu registrieren. Ein Großteil der blockierten Zugriffe ging von der IP-Adresse 202.56.2.126 aus, von der über 26.300 schädliche Anfragen stammten.
Behebung des Fehlers und Sicherheitsmaßnahmen für Betreiber
Der Entwickler des Plugins, WPEverest, hat das Problem behoben und am 18. März 2026 die bereinigte Version 1.9.13 veröffentlicht. Webseitenbetreibern, die das Plugin Everest Forms Pro einsetzen, wird dringend empfohlen, ein Update auf diese oder eine neuere Version einzuspielen. Falls ein sofortiges Update nicht möglich ist, lässt sich das Risiko minimieren, indem die Funktion für komplexe Berechnungen in allen Formularen deaktiviert oder das gesamte Plugin vorübergehend abgeschaltet wird. Nach der Aktualisierung sollten Systemverwalter die Benutzerliste auf unbefugte Konten prüfen und die Server-Verzeichnisse nach unerwarteten PHP-Dateien durchsuchen.
(red)
