关键 Everest Forms Pro 漏洞被利用，可接管 WordPress 网站

黑客正在积极利用 Everest Forms Pro 插件中的一个关键漏洞（CVE-2026-3300），该漏洞可让他们完全控制 WordPress 网站。

该安全问题影响插件 1.9.12 及更早版本，无需身份验证即可被利用，在服务器上执行任意代码。

Everest Forms Pro 是 WordPress 表单构建插件 Everest Forms 的商业附加组件。它用于创建联系表单、注册表单、支付表单以及其他自定义应用表单。

CVE-2026-3300 漏洞位于插件的“复杂计算”功能中。该功能接受通过表单字段提交的值，并将其插入到 PHP 代码字符串中。然后，它使用 PHP 的 eval() 函数执行生成的代码。

尽管用户输入经过了 sanitize_text_field() 函数的处理，但该函数不会转义单引号 (') 或其他影响 PHP 语法的字符。

因此，攻击者可以闭合预期的字符串，注入任意 PHP 代码，并注释掉剩余的生成代码，从而在服务器上实现代码执行。

来自 Wordfence 防火墙和 WordPress 恶意软件扫描器的遥测数据显示，该漏洞正在野外被利用来创建恶意的管理员账户。

Wordfence 的一份报告解释说：「攻击者提交一个文本字段的值，该值以单引号开头以闭合包裹的字符串字面量，接着是一条调用 wp_insert_user() 的 PHP 语句，用于创建一个用户名为 'diksimarina' 的新管理员账户。」「末尾的 // 注释标记确保生成的 PHP 代码的其余部分（包括闭合引号）被视为注释，不会引起语法错误。」「当表单被处理并计算表达式时，注入的 PHP 代码即被执行，恶意管理员账户随之创建。」

拥有管理员级别的访问权限后，攻击者就可以在被入侵的网站上执行高风险操作，包括修改内容、安装插件和主题、植入后门和 Webshell，以及访问私有数据库。

研究人员 h0xilo 于 2 月通过 Wordfence 提交了 CVE-2026-3300 漏洞。3 月 18 日，Everest Forms 开发者发布了修复该问题的补丁。

根据 Wordfence 的数据，活跃利用始于 4 月 13 日，其防火墙已拦截超过 29,300 次尝试。

Wordfence 表示，利用尝试主要来自两个 IP 地址：202.56.2[.]126 和 209.146.60.26，并建议防御者将其屏蔽。

此外，Wordfence 的报告还提供了多个恶意 IP 地址作为入侵威胁指标（IoC）。

网站管理员还应审查日志文件和管理员账户是否存在任何可疑活动，尤其是包含字符串「diksimarina」的内容。