Exploitation active de CVE-2026-3300 dans Everest Forms Pro pour compromettre des sites WordPress

📰 Source : BleepingComputer — publié le 6 juin 2026

Contexte

Une vulnérabilité critique identifiée sous CVE-2026-3300 affecte le plugin commercial Everest Forms Pro (versions 1.9.12 et antérieures) pour WordPress. Cette faille est activement exploitée dans la nature depuis le 13 avril, selon les données télémétriques de Wordfence.

Détails techniques

La vulnérabilité réside dans la fonctionnalité Complex Calculation du plugin, qui insère des valeurs soumises via des champs de formulaire dans une chaîne de code PHP, puis exécute ce code via la fonction eval().

Bien que les entrées utilisateur passent par sanitize_text_field(), cette fonction n’échappe pas les guillemets simples (') ni d’autres caractères influençant la syntaxe PHP. Un attaquant peut ainsi :

Fermer la chaîne de caractères avec un guillemet simple
Injecter du code PHP arbitraire (ex : appel à wp_insert_user())
Commenter le reste du code généré avec // pour éviter les erreurs de syntaxe

L’exploitation est possible sans authentification préalable.

Impact observé

Les attaquants exploitent cette faille pour créer des comptes administrateurs malveillants avec le nom d’utilisateur diksimarina. Un accès administrateur permet :

La modification de contenu
L’installation de plugins/thèmes malveillants
Le dépôt de backdoors et webshells
L’accès aux bases de données privées

Données d’exploitation

Début de l’exploitation : 13 avril
Tentatives bloquées : plus de 29 300
IP sources principales : 202.56.2.126 et 209.146.60.26

Chronologie

Février : Découverte et signalement par le chercheur h0xilo via Wordfence
18 mars : Publication d’un patch par le développeur d’Everest Forms
13 avril : Début de l’exploitation active détectée

Nature de l’article

Article de presse spécialisée rapportant une exploitation active en cours, basé sur les données télémétriques et le rapport de Wordfence.

🧠 TTPs et IOCs détectés

TTP

T1190 — Exploit Public-Facing Application (Initial Access)
T1059.004 — Command and Scripting Interpreter: Unix Shell (Execution)
T1136.001 — Create Account: Local Account (Persistence)
T1078.003 — Valid Accounts: Local Accounts (Privilege Escalation)

IOC

IPv4 : 202.56.2.126 — AbuseIPDB · VT · ThreatFox
IPv4 : 209.146.60.26 — AbuseIPDB · VT · ThreatFox
CVEs : CVE-2026-3300 — NVD · CIRCL

🟢 Indice de vérification factuelle : 68/100 (haute)

✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
✅ 3144 chars — texte complet (15pts)
✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
✅ 1/2 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, VirusTotal) (8pts)
✅ 4 TTPs MITRE identifiées (15pts)
⬜ date RSS ou approximée (0pts)
⬜ aucun acteur de menace nommé (0pts)
⬜ 0/1 CVE(s) confirmée(s) (0pts)

IOCs confirmés externellement :

202.56.2.126 (ip) → VT (3/91 détections)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/critical-everest-forms-pro-flaw-exploited-to-take-over-wordpress-sites/

Contexte#

Détails techniques#

Impact observé#

Données d’exploitation#

Chronologie#

Nature de l’article#

🧠 TTPs et IOCs détectés#

TTP#

IOC#

🟢 Indice de vérification factuelle : 68/100 (haute)#