文章总结： EverestFormsPro插件存在关键漏洞CVE-2026-3300，影响1.9.12及更早版本，攻击者无需认证即可通过注入单引号闭合字符串执行任意PHP代码，正在被活跃利用创建恶意管理员账户。建议用户升级插件版本、屏蔽恶意IP地址202.56.2[.]126和209.146.60.26、检查管理员账户异常活动。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,WEB安全,应用安全,威胁情报

【安全圈】关键 Everest Forms Pro 漏洞被利用，可接管 WordPress 网站

安全圈

2026年6月8日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

黑客正在积极利用 Everest Forms Pro 插件中的一个关键漏洞（CVE-2026-3300），该漏洞可让他们完全控制 WordPress 网站。

该安全问题影响插件 1.9.12 及更早版本，无需身份验证即可被利用，在服务器上执行任意代码。

Everest Forms Pro 是 WordPress 表单构建插件 Everest Forms 的商业附加组件。它用于创建联系表单、注册表单、支付表单以及其他自定义应用表单。

CVE-2026-3300 漏洞位于插件的“复杂计算”功能中。该功能接受通过表单字段提交的值，并将其插入到 PHP 代码字符串中。然后，它使用 PHP 的 eval() 函数执行生成的代码。

尽管用户输入经过了 sanitize_text_field() 函数的处理，但该函数不会转义单引号 (') 或其他影响 PHP 语法的字符。

因此，攻击者可以闭合预期的字符串，注入任意 PHP 代码，并注释掉剩余的生成代码，从而在服务器上实现代码执行。

来自 Wordfence 防火墙和 WordPress 恶意软件扫描器的遥测数据显示，该漏洞正在野外被利用来创建恶意的管理员账户。

Wordfence 的一份报告解释说：「攻击者提交一个文本字段的值，该值以单引号开头以闭合包裹的字符串字面量，接着是一条调用 wp_insert_user() 的 PHP 语句，用于创建一个用户名为 ‘diksimarina’ 的新管理员账户。」「末尾的 // 注释标记确保生成的 PHP 代码的其余部分（包括闭合引号）被视为注释，不会引起语法错误。」「当表单被处理并计算表达式时，注入的 PHP 代码即被执行，恶意管理员账户随之创建。」

拥有管理员级别的访问权限后，攻击者就可以在被入侵的网站上执行高风险操作，包括修改内容、安装插件和主题、植入后门和 Webshell，以及访问私有数据库。

研究人员 h0xilo 于 2 月通过 Wordfence 提交了 CVE-2026-3300 漏洞。3 月 18 日，Everest Forms 开发者发布了修复该问题的补丁。

根据 Wordfence 的数据，活跃利用始于 4 月 13 日，其防火墙已拦截超过 29,300 次尝试。

Wordfence 表示，利用尝试主要来自两个 IP 地址：202.56.2[.]126 和 209.146.60.26，并建议防御者将其屏蔽。

此外，Wordfence 的报告还提供了多个恶意 IP 地址作为入侵威胁指标（IoC）。

网站管理员还应审查日志文件和管理员账户是否存在任何可疑活动，尤其是包含字符串「diksimarina」的内容。

END

阅读推荐

【安全圈】谷歌 Gemini 语音助理曝漏洞，黑客利用通知信息为 AI “下毒”

【安全圈】安全公司警告有黑客在 GitHub 利用自动安装脚本发起供应链投毒

【安全圈】AI Agent 发现 FFmpeg 21 个 0Day 漏洞；Chrome 创纪录修复 429 处缺陷

【安全圈】深夜，黑客潜入发薪后台！常州武进检察破获特大网络“金库”盗窃案

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】关键 Everest Forms Pro 漏洞被利用，可接管 WordPress 网站》