📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os hackers estão explorando ativamente uma vulnerabilidade crítica (CVE-2026-3300) no plugin Everest Forms Pro, que lhes permite assumir o controle total de um site WordPress.
O problema de segurança afeta as versões 1.9.12 e anteriores do plugin e pode ser aproveitado sem autenticação para executar código arbitrário no servidor.
Everest Forms Pro é um complemento comercial para o plugin de criação de formulários WordPress Everest Forms. Ele é usado para criar formulários de contato, registro, pagamento e outros formulários de inscrição personalizados.
A vulnerabilidade CVE-2026-3300 está no recurso Cálculo Complexo do plugin, que aceita valores enviados por meio de campos de formulário e os insere em uma string de código PHP. Em seguida, ele executa o código resultante usando a função ‘eval ()’ do PHP.
Embora a entrada do usuário seja passada por uma função ‘sanitize_text_field()’, que não escapa de aspas simples (') ou outros caracteres que influenciam a sintaxe do PHP.
Como resultado, um invasor pode fechar a string pretendida, injetar código PHP arbitrário e comentar o código gerado restante para executar o código no servidor.
Dados de telemetria do firewall Wordfence e scanner de malware para WordPress mostram que a vulnerabilidade está sendo explorada para criar contas de administrador desonestas.
“O invasor envia um valor para um campo de texto que começa com uma aspa simples para fechar a string literal, seguida por uma instrução PHP que chama wp_insert_user() para criar uma nova conta de administrador com o nome de usuário ‘diksimarina’”, explica um relatório do Wordfence.
“O marcador // de comentário final garante que o resto do código PHP gerado, incluindo a aspa de fechamento, seja tratado como um comentário e não cause um erro de sintaxe.”
“Quando o formulário é processado e o cálculo é avaliado, o código PHP injetado é executado e a conta de administrador mal-intencionada é criada.”
O acesso em nível de administrador dá aos invasores total poder para realizar ações de alto risco no site violado, incluindo modificação de conteúdo, instalação de plug-ins e temas, implantação de backdoors e webshells e acesso a bancos de dados privados.
O pesquisador h0xilo enviou a vulnerabilidade CVE-2026-3300 por meio do Wordfence em fevereiro e, em 18 de março, o desenvolvedor do Everest Forms lançou um patch que resolve o problema.
Segundo dados do Wordfence, a exploração ativa começou em 13 de abril, com o firewall bloqueando mais de 29.300 tentativas.
Volume de exploraçãoFonte: Wordfence
Wordfence diz que as tentativas de exploração se originam principalmente de dois endereços IP, 202.56.2[.]126 e 209.146.60.26, e recomenda que os defensores os bloqueiem.
No entanto, o relatório do Wordfence fornece vários endereços IP ofensivos como indicadores de comprometimento (IOCs).
Recomenda-se também aos administradores de sites que revisem os arquivos de log e as contas de administrador em busca de qualquer atividade suspeita, especialmente contendo a string “diksimarina”.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
O problema de segurança afeta as versões 1.9.12 e anteriores do plugin e pode ser aproveitado sem autenticação para executar código arbitrário no servidor.
Everest Forms Pro é um complemento comercial para o plugin de criação de formulários WordPress Everest Forms. Ele é usado para criar formulários de contato, registro, pagamento e outros formulários de inscrição personalizados.
A vulnerabilidade CVE-2026-3300 está no recurso Cálculo Complexo do plugin, que aceita valores enviados por meio de campos de formulário e os insere em uma string de código PHP. Em seguida, ele executa o código resultante usando a função ‘eval ()’ do PHP.
Embora a entrada do usuário seja passada por uma função ‘sanitize_text_field()’, que não escapa de aspas simples (') ou outros caracteres que influenciam a sintaxe do PHP.
Como resultado, um invasor pode fechar a string pretendida, injetar código PHP arbitrário e comentar o código gerado restante para executar o código no servidor.
Dados de telemetria do firewall Wordfence e scanner de malware para WordPress mostram que a vulnerabilidade está sendo explorada para criar contas de administrador desonestas.
“O invasor envia um valor para um campo de texto que começa com uma aspa simples para fechar a string literal, seguida por uma instrução PHP que chama wp_insert_user() para criar uma nova conta de administrador com o nome de usuário ‘diksimarina’”, explica um relatório do Wordfence.
“O marcador // de comentário final garante que o resto do código PHP gerado, incluindo a aspa de fechamento, seja tratado como um comentário e não cause um erro de sintaxe.”
“Quando o formulário é processado e o cálculo é avaliado, o código PHP injetado é executado e a conta de administrador mal-intencionada é criada.”
O acesso em nível de administrador dá aos invasores total poder para realizar ações de alto risco no site violado, incluindo modificação de conteúdo, instalação de plug-ins e temas, implantação de backdoors e webshells e acesso a bancos de dados privados.
O pesquisador h0xilo enviou a vulnerabilidade CVE-2026-3300 por meio do Wordfence em fevereiro e, em 18 de março, o desenvolvedor do Everest Forms lançou um patch que resolve o problema.
Segundo dados do Wordfence, a exploração ativa começou em 13 de abril, com o firewall bloqueando mais de 29.300 tentativas.
Volume de exploraçãoFonte: Wordfence
Wordfence diz que as tentativas de exploração se originam principalmente de dois endereços IP, 202.56.2[.]126 e 209.146.60.26, e recomenda que os defensores os bloqueiem.
No entanto, o relatório do Wordfence fornece vários endereços IP ofensivos como indicadores de comprometimento (IOCs).
Recomenda-se também aos administradores de sites que revisem os arquivos de log e as contas de administrador em busca de qualquer atividade suspeita, especialmente contendo a string “diksimarina”.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
#samirnews #samir #news #boletimtec #falha #crítica #do #everest #forms #pro #explorada #para #assumir #o #controle #de #sites #wordpress
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário