Μια σοβαρή ευπάθεια (CVE-2026-3300) έχει εντοπιστεί στο πρόσθετο Everest Forms Pro, που επιτρέπει σε κακόβουλους χρήστες να αποκτούν ολοκληρωτικό έλεγχο σε ιστοσελίδες WordPress. Αυτή η ανακάλυψη έχει προκαλέσει ανησυχίες σχετικά με την ασφάλεια πολλών ιστοτόπων που πληρούν τις προϋποθέσεις.
Η χειραγώγηση αυτής της ευπάθειας αφορά τις εκδόσεις 1.9.12 και παλαιότερες του Everest Forms Pro και μπορεί να αξιοποιηθεί χωρίς την απαιτούμενη ταυτοποίηση, κάτι που σημαίνει ότι οι εισβολείς μπορούν να εκτελέσουν αυθαίρετο κώδικα στον διακομιστή.
Το Everest Forms Pro χρησιμοποιείται για τη δημιουργία ποικιλίας φορμών, όπως για επαφές, εγγραφές και πληρωμές, καθιστώντας το ένα δημοφιλές εργαλείο στον κόσμο του WordPress.
Η ευπάθεια εντοπίζεται σε μια δυνατότητα υπολογισμού της προσθήκης, η οποία ερμηνεύει εισαγόμενες τιμές μέσω των πεδίων των φορμών και τις εκτελεί με την PHP. Ενώ η είσοδος του χρήστη υποβάλλεται μέσω της συνάρτησης ‘sanitize_text_field()’, υπάρχουν κενά που επιτρέπουν στον επιτιθέμενο να εισάγει αυθαίρετο κώδικα.
Με αυτόν τον τρόπο, ένας επιτιθέμενος μπορεί να κλείσει τη συμβολοσειρά και να ενσωματώσει κώδικα PHP, σχολιάζοντας τον υπόλοιπο κώδικα για να αποφύγει συντακτικά σφάλματα και να επιτύχει την εκτέλεση του κώδικα στον διακομιστή.
Δεδομένα από το τείχος προστασίας του Wordfence καταδεικνύουν ότι οι κακόβουλες επιθέσεις είναι σε εξέλιξη, με στόχο την εκχώρηση αδίστακτων λογαριασμών διαχειριστή. “Ο επιτιθέμενος υποβάλλει μια τιμή πεδίου κειμένου που ξεκινά με ένα μόνο εισαγωγικό, δημιουργώντας την προϋπόθεση για την εκτέλεση κακόβουλου κώδικα,” αναφέρει ρεπορτάζ από το Wordfence.
Η ευάλωτη εφαρμογή αποτελεί πρόσφορο έδαφος για τους εισβολείς, που μπορούν να τροποποιήσουν περιεχόμενο, να εγκαταστήσουν πρόσθετα και backdoors, καθώς και να έχουν πρόσβαση σε ιδιωτικά δεδομένα.
Η αναφορά υπογραμμίζει ότι η ευπάθεια αυτή αναφέρθηκε για πρώτη φορά από τον ερευνητή h0xilo μέσω του Wordfence τον Φεβρουάριο του 2026, με τον προγραμματιστή της προσθήκης να δημοσιεύει μια ενημέρωση που επιλύει το πρόβλημα τον Μάρτιο. Ωστόσο, οι επιθέσεις συνεχίζονται και καταγράφηκαν πάνω από 29.300 προσπάθειες εκμετάλλευσης.
Πηγή: Wordfence
Όπως αναφέρει το Wordfence, οι επιθέσεις προέρχονται κυρίως από δύο διευθύνσεις IP, 202.56.2[.]126 και 209.146.60.26, και προτείνει στους διαχειριστές ιστότοπων να τις αποκλείσουν. Ο οργανισμός προειδοποιεί επίσης να ελέγχουν τα αρχεία καταγραφής και τους λογαριασμούς διαχειριστή για τυχόν ύποπτες ενέργειες που μπορεί να σχετίζονται με τη συγκεκριμένη ευπάθεια.
Οι ομάδες ασφάλειας αναφέρουν ότι το 54% των επιτυχημένων επιθέσεων καταγράφεται, ενώ μόλις το 14% των περιπτώσεων λαμβάνει ειδοποίηση. Το υπόλοιπο παραμένει κρυφό.
Η λευκή βίβλος Picus αναλύει πώς οι επιθέσεις με προσομοίωση συμβάλλουν στη βελτίωση των κανόνων SIEM και EDR σας, έτσι ώστε απειλές να μη περνούν χωρίς ανίχνευση.
