Критическая уязвимость удалённого выполнения кода CVE-2026-3300 (CVSS 9.8) в плагине Everest Forms Pro для WordPress активно эксплуатируется злоумышленниками для полной компрометации веб-сайтов. По данным Wordfence, с 13 апреля 2026 года зафиксировано более 29 300 заблокированных попыток эксплуатации. Уязвимость затрагивает все версии плагина до 1.9.12 включительно, а исправление доступно в версии 1.9.13, выпущенной 18 марта 2026 года. Владельцам сайтов с установленным Everest Forms Pro (около 4 000 активных установок) необходимо немедленно обновить плагин — атакующие создают подконтрольные административные учётные записи и устанавливают веб-шеллы без какой-либо аутентификации.
Техническая анатомия уязвимости
Корневая причина уязвимости, как сообщает Wordfence, кроется в функции process_filter() модуля Calculation Addon. Эта функция конкатенирует значения полей формы, отправленные пользователем, в строку PHP-кода без надлежащего экранирования, а затем передаёт результат в eval(). Применяемая к вводу функция sanitize_text_field() не экранирует одинарные кавычки и другие символы, значимые в контексте PHP-кода.
Это позволяет неаутентифицированному атакующему внедрить и выполнить произвольный PHP-код на сервере, отправив специально сформированное значение в любое строковое поле формы (текст, email, URL, select, radio), если форма использует функцию «Complex Calculation». Согласно записи в NVD, уязвимость получила максимально близкую к критической оценку CVSS — 9.8.
Успешная эксплуатация даёт атакующим возможность:
- Создавать подконтрольные учётные записи администратора
- Развёртывать веб-шеллы для постоянного доступа
- Углублять проникновение в серверную инфраструктуру и закреплять присутствие
Наблюдаемая активность эксплуатации
По данным Wordfence, активная эксплуатация CVE-2026-3300 наблюдается с 13 апреля 2026 года. На момент публикации заблокировано более 29 300 попыток атак, при этом 16 атак зафиксировано за последние 24 часа. Наиболее распространённая полезная нагрузка направлена на создание учётной записи администратора с именем «diksimarina» и адресом электронной почты [email protected].
Зафиксированные IP-адреса источников атак:
202.56.2.126209.146.60.2615.235.166.182402:1f00:8000:800::40db185.78.165.153
Следует учитывать, что данные индикаторы компрометации получены из телеметрии одного поставщика безопасности и могут меняться со временем.
Скиммерные кампании: злоупотребление доверенной инфраструктурой
Параллельно с эксплуатацией Everest Forms Pro исследователи Sansec выявили несколько кампаний по краже платёжных данных, использующих принципиально новый подход к маскировке вредоносной инфраструктуры.
Stripe как командный сервер
Одна из кампаний, описанная Sansec, использует Stripe в качестве командного сервера и хранилища украденных данных. Атакующие загружают вредоносный код через контейнер Google Tag Manager, а обфусцированный скиммер извлекается из поля метаданных клиентской записи Stripe (идентификатор cus_TfFjAAZQNOYENR).
Ключевая идея атаки — домены googletagmanager.com и api.stripe.com по умолчанию являются доверенными для интернет-магазинов и пропускаются политиками Content Security Policy и сетевыми фильтрами. На страницах оформления заказа Magento и Adobe Commerce скиммер перехватывает финансовую информацию, адреса выставления счетов, электронную почту и телефонные номера, сохраняя их в localStorage браузера перед отправкой на аккаунт атакующего в Stripe.
Как отмечают исследователи, каждая украденная карта становится «клиентом» в аккаунте злоумышленника, а клиентская база Stripe превращается в бесплатное и надёжное хранилище для эксфильтрации. Запись Stripe, содержащая скиммер, предположительно была создана 24 декабря 2025 года, что указывает на возможную активность операции с этой даты. Sansec также обнаружил второй вариант загрузчика, использующий Google Firestore вместо Stripe для аналогичных целей.
Операция GorgonAgora
Отдельно Sansec описывает масштабную операцию GorgonAgora, включающую, по данным исследователей, 5 714 поддельных интернет-магазинов в зоне .shop, имитирующих бренды Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney и Toyota. Кампания предположительно активна с августа 2025 года.
Все магазины работают на стеке Medusa.js и загружают единый SDK оформления заказа, который отображает поддельный iframe Stripe и передаёт данные карт через зашифрованное WebSocket-соединение (AES-256-GCM) на единый сервер в Молдове. Примечательно, что инфраструктура поддерживает ретрансляцию 3D Secure в реальном времени: когда банк жертвы возвращает запрос 3DS, оператор проксирует его обратно покупателю через поддельный iframe, обеспечивая завершение транзакции и невидимость кражи.
Оценка воздействия
Хотя количество активных установок Everest Forms Pro относительно невелико (около 4 000), характер уязвимости — неаутентифицированное удалённое выполнение кода с оценкой CVSS 9.8 — делает каждый непропатченный сайт мишенью для автоматизированных атак. Промежуток между выпуском патча (18 марта) и началом наблюдаемой эксплуатации (13 апреля) составил менее месяца, что типично для критических уязвимостей WordPress-плагинов.
Скиммерные кампании представляют угрозу иного масштаба: злоупотребление доверенными сервисами (Stripe, Google Tag Manager, Google Firestore) подрывает традиционные модели защиты, основанные на белых списках доменов и CSP. Владельцы магазинов на Magento и Adobe Commerce находятся в зоне наибольшего риска.
Практические рекомендации
Для владельцев сайтов с Everest Forms Pro:
- Немедленно обновите плагин до версии 1.9.13 или выше
- Проверьте список администраторов на наличие неизвестных учётных записей, в частности «diksimarina»
- Просканируйте файловую систему на наличие веб-шеллов и неавторизованных файлов
- Заблокируйте указанные IP-адреса на уровне WAF или файрвола
- Если обновление невозможно — деактивируйте функцию «Complex Calculation» или весь плагин до применения патча
Для владельцев интернет-магазинов (Magento, Adobe Commerce):
- Проведите аудит контейнеров Google Tag Manager на наличие неавторизованных тегов и скриптов
- Проверьте, не загружаются ли на страницах оформления заказа скрипты, обращающиеся к API Stripe с неизвестными ключами
- Внедрите мониторинг целостности скриптов на критических страницах (checkout, корзина)
- Рассмотрите использование Subresource Integrity (SRI) для внешних скриптов, где это технически возможно
Владельцам WordPress-сайтов с Everest Forms Pro следует рассматривать обновление до версии 1.9.13 как приоритет нулевого дня — патч доступен уже три месяца, а автоматизированные атаки продолжаются. Для операторов электронной коммерции ключевой вывод из скиммерных кампаний состоит в том, что доверие к домену (Stripe, Google) больше не является достаточным основанием для безопасности: необходим контроль на уровне конкретных скриптов и API-ключей, а не только доменных политик.
