Piratai aktyviai naudojasi kritiniu pažeidžiamumu (CVE-2026-3300), esančiu Everest Forms Pro papildinyje, leidžiančiu visiškai valdyti „WordPress“ svetainę.
Saugos problema paveikia 1.9.12 ir senesnes papildinio versijas ir gali būti panaudota be autentifikavimo, kad būtų paleistas savavališkas kodas serveryje.
„Everest Forms Pro“ yra komercinis „WordPress“ formų kūrimo įskiepio „Everest Forms“ priedas. Jis naudojamas kuriant kontaktines, registracijos, mokėjimo ir kitas pasirinktines paraiškos formas.
Pažeidžiamumas CVE-2026-3300 yra papildinio sudėtingo skaičiavimo funkcijoje, kuri priima reikšmes, pateiktas per formos laukus, ir įterpia jas į PHP kodo eilutę. Tada jis vykdo gautą kodą naudodamas PHP funkciją „eval ()“.
Nors vartotojo įvestis perduodama per funkciją „sanitize_text_field()“, kuri neišvengia pavienių kabučių (') ar kitų simbolių, turinčių įtakos PHP sintaksei.
Dėl to užpuolikas gali uždaryti numatytą eilutę, įvesti savavališką PHP kodą ir komentuoti likusį sugeneruotą kodą, kad būtų įvykdytas kodo vykdymas serveryje.
Telemetrijos duomenys iš „Wordfence“ ugniasienės ir kenkėjiškų programų skaitytuvo, skirto „WordPress“, rodo, kad pažeidžiamumas išnaudojamas gamtoje kuriant nesąžiningas administratoriaus paskyras.
„Užpuolikas pateikia reikšmę teksto laukui, prasidedančiam viena citata, kad uždarytų įvyniojimo eilutę, o po to PHP sakinį, kuris iškviečia wp_insert_user(), kad būtų sukurta nauja administratoriaus paskyra naudotojo vardu „diksimarina“, – aiškinama „Wordfence“ ataskaitoje.
„Galiojantis // komentaro žymeklis užtikrina, kad likusi sugeneruoto PHP kodo dalis, įskaitant baigiamąją citatą, būtų traktuojama kaip komentaras ir nesukelia sintaksės klaidos.
„Kai forma apdorojama ir įvertinamas skaičiavimas, vykdomas įvestas PHP kodas ir sukuriama kenkėjiška administratoriaus paskyra.
Administratoriaus lygio prieiga suteikia užpuolikams visas galias atlikti didelės rizikos veiksmus pažeistoje svetainėje, įskaitant turinio modifikavimą, papildinių ir temų diegimą, galinių durų ir žiniatinklio apvalkalų diegimą bei prieigą prie privačių duomenų bazių.
Tyrėjas h0xilo vasario mėnesį per Wordfence pateikė CVE-2026-3300 pažeidžiamumą, o kovo 18 d. Everest Forms kūrėjas išleido pataisą, kuri išsprendžia šią problemą.
„Wordfence“ duomenimis, aktyvus išnaudojimas prasidėjo balandžio 13 d., kai ugniasienė užblokavo daugiau nei 29 300 bandymų.
Šaltinis: Wordfence
„Wordfence“ teigia, kad išnaudojimo bandymai pirmiausia kyla iš dviejų IP adresų – 202.56.2(.)126 ir 209.146.60.26, ir rekomenduoja gynėjams juos blokuoti.
Tačiau Wordfence ataskaitoje pateikiami keli pažeidžiantys IP adresai kaip kompromiso (IOC) indikatoriai.
Svetainės administratoriams taip pat rekomenduojama peržiūrėti žurnalo failus ir administratoriaus paskyras, ar nėra įtartinos veiklos, ypač jei yra eilutė „diksimarina“.
Apsaugos komandos registruoja 54% sėkmingų atakų ir įspėja tik apie 14%. Likusieji juda per jūsų aplinką nematyti.
„Picus“ informaciniame dokumente parodyta, kaip pažeidimo ir atakos modeliavimas tikrina jūsų SIEM ir EDR taisykles, kad aptiktos grėsmės nustotų slysti.
Gaukite baltą lapą
