Una vulnerabilità critica nel plugin Everest Forms Pro espone migliaia di siti WordPress al rischio di compromissione totale.
Il problema, tracciato come CVE-2026-3300 con punteggio CVSS 9.8, consente l’esecuzione remota di codice senza alcuna autenticazione. Gli attacchi reali sono già documentati: le piattaforme di monitoraggio hanno registrato oltre 29.000 tentativi di exploit nelle settimane successive alla divulgazione della falla. La dinamica è ormai consolidata nel settore: i cybercriminali sorvegliano costantemente i plugin più diffusi e intervengono in tempi rapidi non appena emerge una vulnerabilità sfruttabile.
Come funziona la falla e quali rischi comporta
La vulnerabilità interessa tutte le versioni di Everest Forms Pro fino alla 1.9.12 inclusa e risiede nella funzionalità Complex Calculation, progettata per elaborare formule avanzate nei moduli.
Il problema tecnico è un utilizzo insicuro della funzione PHP eval(): durante l’elaborazione dei dati inviati tramite modulo, alcuni valori forniti dagli utenti vengono concatenati in una stringa PHP eseguita direttamente dal sistema. La sanificazione degli input non neutralizza adeguatamente caratteri speciali come gli apici singoli, rendendo possibile l’iniezione di codice arbitrario.
