WordPress sotto attacco: CVE-2026-3300 consente takeover totale via Everest Forms Pro senza login
Featured

WordPress sotto attacco: CVE-2026-3300 consente takeover totale via Everest Forms Pro senza login

news Visite: 61

Una grave vulnerabilità WordPress sta mettendo a rischio migliaia di siti che utilizzano il plugin Everest Forms Pro. La falla, identificata come CVE 2026 3300, ha un punteggio CVSS 9.8 ed è classificata come remote code execution, cioè permette a un attaccante di eseguire codice arbitrario sul server.

Il problema riguarda tutte le versioni fino alla 1.9.12 inclusa, mentre la correzione è stata rilasciata con la versione 1.9.13.

Dettagli tecnici della vulnerabilità

Il punto critico si trova nel componente di calcolo, in particolare nella gestione della funzione process_filter collegata alla funzionalità Complex Calculation. In pratica, alcuni valori inseriti dagli utenti nei campi del modulo vengono concatenati in una stringa di codice PHP e poi valutati con eval senza un adeguato escaping. Anche se viene applicata una sanitizzazione del testo, questa non è sufficiente a neutralizzare caratteri che, nel contesto di PHP, possono cambiare il significato del codice e aprire la strada a iniezione di codice.

Impatto e modalità di attacco

L’aspetto più pericoloso è che l’attacco può avvenire senza autenticazione. Basta inviare un modulo preparato ad hoc usando campi di tipo stringa come:

  • Testo
  • Email
  • URL
  • Select
  • Radio

a condizione che il modulo sfrutti la funzione di calcolo complesso. In uno scenario di compromissione, un criminale informatico può creare account amministratore non autorizzati, installare web shell, modificare file del sito e costruire persistenza per ulteriori attacchi, trasformando una semplice vulnerabilità di un plugin WordPress in un takeover completo.

Attività malevole osservate

Le attività malevole risultano in corso da aprile 2026, con un volume elevato di tentativi di sfruttamento bloccati. Tra i comportamenti osservati, compare spesso la creazione automatica di un account admin con un nome specifico, segnale tipico di campagne opportunistiche su larga scala che puntano a monetizzare rapidamente i siti vulnerabili.

Mitigazione e controlli consigliati

Per ridurre il rischio è fondamentale:

  • Aggiornare subito Everest Forms Pro alla versione corretta (1.9.13 o superiore).
  • Verificare se i moduli in uso sfruttano Complex Calculation.
  • Controllare la presenza di nuovi utenti amministratori sospetti.
  • Ispezionare il server alla ricerca di file anomali o modifiche inattese.
  • Rafforzare le misure di sicurezza applicativa e monitorare i log.