Критична вразливість віддаленого виконання коду CVE-2026-3300 (CVSS 9.8) у плагіні Everest Forms Pro для WordPress активно експлуатується зловмисниками для повної компрометації вебсайтів. За даними Wordfence, з 13 квітня 2026 року зафіксовано понад 29 300 заблокованих спроб експлуатації. Вразливість зачіпає всі версії плагіна до 1.9.12 включно, а виправлення доступне у версії 1.9.13, випущеній 18 березня 2026 року. Власникам сайтів з установленим Everest Forms Pro (близько 4 000 активних інсталяцій) необхідно негайно оновити плагін — атакувальники створюють підконтрольні адміністративні облікові записи та встановлюють вебшелли без будь-якої автентифікації.
Технічна анатомія вразливості
Коренева причина вразливості, як повідомляє Wordfence, полягає у функції process_filter() модуля Calculation Addon. Ця функція конкатенує значення полів форми, надіслані користувачем, у рядок PHP-коду без належного екранування, а потім передає результат у eval(). Застосована до введення функція sanitize_text_field() не екранує одинарні лапки та інші символи, важливі в контексті PHP-коду.
Це дає змогу неавтентифікованому атакувальнику впровадити й виконати довільний PHP-код на сервері, надіславши спеціально сформоване значення в будь-яке рядкове поле форми (текст, email, URL, select, radio), якщо форма використовує функцію «Complex Calculation». Відповідно до запису в NVD, вразливість отримала максимально наближену до критичної оцінку CVSS — 9.8.
Успішна експлуатація дає змогу зловмисникам:
- Створювати підконтрольні облікові записи адміністратора
- Розгортати вебшелли для постійного доступу
- Поглиблювати проникнення в серверну інфраструктуру та закріплювати присутність
Зафіксована активність експлуатації
За даними Wordfence, активна експлуатація CVE-2026-3300 спостерігається з 13 квітня 2026 року. На момент публікації заблоковано понад 29 300 спроб атак, при цьому 16 атак зафіксовано за останні 24 години. Найпоширеніше корисне навантаження спрямоване на створення облікового запису адміністратора з іменем «diksimarina» та адресою електронної пошти [email protected].
Зафіксовані IP-адреси джерел атак:
202.56.2.126209.146.60.2615.235.166.182402:1f00:8000:800::40db185.78.165.153
Слід враховувати, що ці індикатори компрометації отримані з телеметрії одного постачальника безпеки й з часом можуть змінюватися.
Скіммерні кампанії: зловживання довіреною інфраструктурою
Паралельно з експлуатацією Everest Forms Pro дослідники Sansec виявили кілька кампаній зі викрадення платіжних даних, які використовують принципово новий підхід до маскування шкідливої інфраструктури.
Stripe як командний сервер
Одна з кампаній, описана Sansec, використовує Stripe як командний сервер і сховище викрадених даних. Атакувальники завантажують шкідливий код через контейнер Google Tag Manager, а обфускований скімер витягується з поля метаданих клієнтського запису Stripe (ідентифікатор cus_TfFjAAZQNOYENR).
Ключова ідея атаки — домени googletagmanager.com та api.stripe.com за замовчуванням є довіреними для інтернет-магазинів і пропускаються політиками Content Security Policy та мережевими фільтрами. На сторінках оформлення замовлення Magento та Adobe Commerce скімер перехоплює фінансову інформацію, платіжні адреси, електронну пошту й номери телефонів, зберігаючи їх у localStorage браузера перед надсиланням на акаунт атакувальника в Stripe.
Як зазначають дослідники, кожна викрадена картка стає «клієнтом» в акаунті зловмисника, а клієнтська база Stripe перетворюється на безкоштовне й надійне сховище для ексфільтрації. Запис Stripe, що містить скімер, імовірно був створений 24 грудня 2025 року, що вказує на можливу активність операції з цієї дати. Sansec також виявив другий варіант завантажувача, який використовує Google Firestore замість Stripe з аналогічною метою.
Операція GorgonAgora
Окремо Sansec описує масштабну операцію GorgonAgora, що, за даними дослідників, включає 5 714 підроблених інтернет-магазинів у доменній зоні .shop, які імітують бренди Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney та Toyota. Кампанія, імовірно, активна з серпня 2025 року.
Усі магазини працюють на стеку Medusa.js і завантажують єдиний SDK оформлення замовлення, який відображає підроблений iframe Stripe і передає дані карток через зашифроване WebSocket-з’єднання (AES-256-GCM) на єдиний сервер у Молдові. Показово, що інфраструктура підтримує ретрансляцію 3D Secure у режимі реального часу: коли банк жертви повертає запит 3DS, оператор проксіює його назад покупцеві через підроблений iframe, забезпечуючи завершення транзакції та непомітність крадіжки.
Оцінка впливу
Хоча кількість активних інсталяцій Everest Forms Pro відносно невелика (близько 4 000), характер вразливості — неавтентифіковане віддалене виконання коду з оцінкою CVSS 9.8 — робить кожен непатчений сайт ціллю для автоматизованих атак. Проміжок часу між випуском патча (18 березня) та початком зафіксованої експлуатації (13 квітня) становив менше місяця, що є типовим для критичних вразливостей плагінів WordPress.
Скіммерні кампанії становлять загрозу іншого масштабу: зловживання довіреними сервісами (Stripe, Google Tag Manager, Google Firestore) підриває традиційні моделі захисту, побудовані на білих списках доменів і CSP. Власники магазинів на Magento та Adobe Commerce перебувають у зоні найвищого ризику.
Практичні рекомендації
Для власників сайтів з Everest Forms Pro:
- Негайно оновіть плагін до версії 1.9.13 або вище
- Перевірте список адміністраторів на наявність невідомих облікових записів, зокрема «diksimarina»
- Проскануйте файлову систему на наявність вебшеллів і неавторизованих файлів
- Заблокуйте вказані IP-адреси на рівні WAF або мережевого фаєрвола
- Якщо оновлення неможливе — деактивуйте функцію «Complex Calculation» або весь плагін до застосування патча
Для власників інтернет-магазинів (Magento, Adobe Commerce):
- Проведіть аудит контейнерів Google Tag Manager на наявність неавторизованих тегів і скриптів
- Перевірте, чи не завантажуються на сторінках оформлення замовлення скрипти, що звертаються до API Stripe з невідомими ключами
- Упровадьте моніторинг цілісності скриптів на критичних сторінках (checkout, кошик)
- Розгляньте використання Subresource Integrity (SRI) для зовнішніх скриптів там, де це технічно можливо
Власникам WordPress-сайтів з Everest Forms Pro слід розглядати оновлення до версії 1.9.13 як пріоритет нульового дня — патч доступний уже три місяці, а автоматизовані атаки тривають. Для операторів електронної комерції ключовий висновок зі скімінгових кампаній полягає в тому, що довіра до домену (Stripe, Google) більше не є достатньою підставою для безпеки: потрібен контроль на рівні конкретних скриптів та API-ключів, а не лише доменних політик.
