当前位置:首页 > 文章 > 0day

紧急预警:热门WordPress插件爆出高危RCE漏洞,攻击者已开始大规模接管网站

admin3周前 (06-23)0day50
摘要:一个被大量 WordPress 网站使用的付费表单插件 Everest Forms Pro 爆出严重安全漏洞,漏洞编号为 CVE-2026-3300,危险等级达到 CVSS 9.8(Critical)。更严重的是:攻击者已经开始大规模利用。安全研究人员确认,这一漏洞允许攻击者无需登录、无需账号,仅通…

一个被大量 WordPress 网站使用的付费表单插件 Everest Forms Pro 爆出严重安全漏洞,漏洞编号为 CVE-2026-3300,危险等级达到 CVSS 9.8(Critical)。

更严重的是:

攻击者已经开始大规模利用。

安全研究人员确认,这一漏洞允许攻击者无需登录、无需账号,仅通过提交一个特殊构造的表单,就可能直接获取整个网站控制权。


漏洞概要

漏洞名称:

CVE-2026-3300

漏洞类型:

远程代码执行(Remote Code Execution / RCE)

影响版本:

  • Everest Forms Pro ≤ 1.9.12
  • 免费版不受影响
  • 修复版本:1.9.13 及以上版本

漏洞评分:

CVSS 9.8 / 10(Critical)


时间线:漏洞其实早已修复,但危险现在才真正开始

2月27日:

安全防护规则首先向高级防护用户推送。

3月18日:

厂商发布修复版本 1.9.13。

3月30日:

研究人员公开披露漏洞。

4月13日:

开始出现真实攻击活动。

最近两天:

技术细节与攻击方式公开后,大量攻击迅速增加。


漏洞到底怎么产生的?

问题来自插件中的:

Complex Calculation(复杂计算)功能

插件内部有一个用于计算复杂公式的处理逻辑。

研究人员发现:

插件会将用户提交的数据拼接进 PHP 代码字符串中。

随后直接执行。

核心问题在于:

用户输入 → 拼接进 PHP → eval 执行

虽然开发者试图使用过滤函数处理输入,但过滤逻辑无法阻止攻击者构造特殊字符逃逸代码执行环境。最终导致攻击者能够插入任意 PHP 代码。


哪些字段可以被利用?

只要网站启用了复杂计算功能。

攻击者就可能通过这些字段触发漏洞:

  • 文本输入框
  • Email 输入框
  • URL 输入框
  • Select 下拉框
  • Radio 单选框

换句话说:

攻击者甚至不需要后台权限。

只要能访问表单即可。


攻击成功后会发生什么?

攻击者能够执行任意 PHP 代码。

意味着他们可以:

创建管理员账户

新增隐藏管理员账号长期控制网站。

上传 WebShell / 后门

实现长期驻留。

窃取数据库

包括:

  • 用户数据
  • 订单数据
  • 邮箱信息
  • API 密钥

接管服务器

进一步攻击:

  • 同服务器网站
  • 内网资源
  • 云环境

研究人员明确指出:

最终结果就是 Complete Site Compromise(完全沦陷)


攻击规模已经多严重?

目前公开数据显示:

  • 攻击者从 4 月开始利用
  • 已拦截超过 29,300 次攻击尝试
  • 攻击活动正在持续增长

安全研究人员认为:

随着漏洞利用脚本公开。

现在已经进入:

自动化扫描 + 批量攻击阶段。


为什么很多网站还没修?

原因其实很简单:

原因 1:这是付费插件

很多管理员不会频繁更新。

原因 2:漏洞藏在特殊功能中

许多人认为:

“我只是做个简单表单”

却忘记自己曾启用复杂计算。

原因 3:修复早,但技术细节最近才公开

攻击者往往等待:

PoC 出现 → 自动化利用 → 批量扫描

因此现在才是真正危险阶段。


如何检查自己是否已经中招?

建议立即检查:

1. 查看插件版本

如果:

≤ 1.9.12

立即升级。

2. 查看管理员账户

检查是否出现:

  • 不认识的新管理员
  • 奇怪用户名
  • 最近创建账号

3. 检查异常 PHP 文件

重点查看:

  • wp-content/uploads/
  • themes/
  • plugins/

是否出现:

  • 随机命名 php 文件
  • 新增可疑目录

4. 查看日志

关注:

  • 异常 POST 请求
  • 大量表单提交
  • admin-ajax 请求暴增

立即处置建议

建议按照优先级处理:

第一优先级

升级到:

Everest Forms Pro 1.9.13+

第二优先级

禁用复杂计算功能(如果不需要)

第三优先级

检查:

  • 管理员账户
  • 上传目录
  • WebShell
  • 数据库异常

第四优先级

部署:

  • WAF
  • 安全插件
  • 登录保护

总结

这是一个典型案例:

一个原本用于收集用户数据的表单插件 因为错误执行用户输入 最终变成攻击者执行代码的入口

现在的问题已经不是:

"漏洞会不会被利用"

而是:

"攻击者什么时候扫描到你的网站"

如果你仍在运行旧版 Everest Forms Pro。

现在最重要的事情只有一件:

立即升级。



#Simple #Everest Forms Pro #WordPress #CVE-2026-3300 #漏洞

扫描二维码推送至手机访问。

版权声明:本文由日常随记发布,如需转载请注明出处。

本文链接:https://www.7x0.cn/post/32.html

“紧急预警:热门WordPress插件爆出高危RCE漏洞,攻击者已开始大规模接管网站” 的相关文章

紧急预警:iPhone 曝高危漏洞,黑客已实际攻击!

紧急预警:iPhone 曝高危漏洞,黑客已实际攻击!

近日,苹果官网紧急发布安全公告,正式确认两款高危 WebKit 漏洞(编号 CVE-2025-43529 与 CVE-2025-14174)存在严重安全隐患——目前这两个漏洞已被黑客主动利用,且已有用户遭遇攻击。…

CVE-2026-22200:osTicket工单直通系统Shell的漏洞剖析

CVE-2026-22200:osTicket工单直通系统Shell的漏洞剖析

    Horizon3.ai的研究团队在流行的开源服务台系统osTicket中发现了一个受CTF启发、编号为CVE-2026-22200的安全漏洞。该漏洞允许匿名攻击者通过向工单中注入恶意的PHP过滤器链表达式,然后将工单导出为PDF文档,从而读取服务器上的任意文件。攻击者可以…

飞牛系统(fnOS)任意文件读取漏洞 附POC

飞牛系统(fnOS)任意文件读取漏洞 附POC

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后…

泛微E-Mobile 远程命令执行漏洞(RCE)附POC

泛微E-Mobile 远程命令执行漏洞(RCE)附POC

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。…