Хакеры уже эксплуатируют критическую уязвимость CVE-2026-3300 в Everest Forms Pro — коммерческом плагине для WordPress. Дыра затрагивает версии 1.9.12 и старше и позволяет без входа в систему выполнить код на сервере, а затем взять сайт под контроль.

Что это за уязвимость

Everest Forms Pro используют для контактных, регистрационных, платёжных и других форм на сайтах. Проблема сидит в функции Complex Calculation: плагин берёт значения из полей формы, подставляет их в строку PHP-кода и потом запускает её через eval(). Если злоумышленник подсовывает вредоносный ввод, он может сломать логику расчёта и внедрить свой код.

Именно так атакующие получают возможность создавать новые учётные записи администратора. Wordfence уже зафиксировала атаки в реальной среде и сообщила о десятках тысяч попыток, которые блокировал её фильтр.

Как это работает технически

Плагин пытается очистить ввод через sanitize_text_field(), но эта функция не экранирует одинарные кавычки и часть символов, важных для синтаксиса PHP. В результате злоумышленник закрывает исходную строку, вставляет свой фрагмент кода и «запирает» остаток строки комментарием //, чтобы сервер не увидел ошибку.

Дальше срабатывает wp_insert_user(): на сайте появляется новый администратор с нужным атакующему именем. После этого он может менять контент, ставить плагины и темы, загружать бэкдоры и читать данные из базы.

Похожая логика уже встречалась в других инцидентах с WordPress-плагинами: уязвимость в приложении кажется локальной, но на деле открывает полный доступ к сайту. Подробно о том, как подобные ошибки превращаются в компрометацию серверов, мы разбирали в материале про кривую регулярку и ReDoS.

Почему это опасно для сайта и бизнеса

Админский доступ — это не просто смена главной страницы. Атакующий может тихо закрепиться на сервере, подменить формы, украсть данные клиентов, внедрить вредоносные скрипты и долго оставаться незамеченным.

Особенно уязвимы сайты, где форму обратной связи или заявку на оплату давно не проверяли. Если плагин стоит на старой версии, а журналов почти никто не смотрит, взлом часто обнаруживают уже после жалоб пользователей или блокировки со стороны хостинга.

Как понять, что вас это касается

Под риск попадают все сайты на WordPress, где установлен Everest Forms Pro версии 1.9.12 и ниже. Если у вас есть этот плагин, проверьте его версию прямо в админке и сравните с патчем, который разработчик выпустил 18 марта.

Отдельный тревожный признак — неизвестные администраторы в списке пользователей. Wordfence отдельно указала строку diksimarina как маркер компрометации, но искать нужно не только её: стоит проверить любые свежие учётные записи, странные входы и правки в формах.

Что делать администраторам

Первый шаг — обновить Everest Forms Pro до версии с исправлением. Второй — проверить журналы входов, список администраторов, установленные плагины и темы, а также недавние изменения в формах и шаблонах.

Если сайт уже атаковали, одной смены пароля мало. Нужны ревизия файлов, проверка базы, поиск сторонних вебшеллов и бэкдоров, а затем — смена всех учётных данных, связанных с хостингом и админкой.

Дополнительно стоит закрыть лишние точки входа: включить двухфакторную аутентификацию, ограничить число администраторов и следить за подозрительными событиями в логах. Для защиты личных аккаунтов и служебных почт полезно держать под рукой менеджер паролей и второй фактор, а в поездках и кафе — использовать дополнительный слой защиты для чужой сети, если приходится работать с банком или корпоративной панелью из открытого Wi‑Fi.

Практический чек-лист

  • Проверьте, стоит ли на сайте Everest Forms Pro и какая у него версия.
  • Обновите плагин до исправленной сборки.
  • Просмотрите список администраторов и удалите неизвестные учётные записи.
  • Изучите логи на предмет подозрительных входов и изменений форм.
  • Проверьте сайт на бэкдоры, вебшеллы и чужие плагины.
  • Смените пароли к админке, хостингу и базе данных.
  • Включите двухфакторную аутентификацию для всех привилегированных учётных записей.
  • Ограничьте число людей с правами администратора.
Поделиться: