La vulnerabilidad crítica de Remote Code Execution CVE-2026-3300 (CVSS 9.8) en el plugin Everest Forms Pro para WordPress está siendo explotada activamente por atacantes para la completa compromisión de sitios web. Según datos de Wordfence, desde el 13 de abril de 2026 se han registrado más de 29 300 intentos de explotación bloqueados. La vulnerabilidad afecta a todas las versiones del plugin hasta la 1.9.12 inclusive, y la corrección está disponible en la versión 1.9.13, publicada el 18 de marzo de 2026. Los propietarios de sitios con Everest Forms Pro instalado (alrededor de 4 000 instalaciones activas) deben actualizar el plugin de inmediato: los atacantes crean cuentas administrativas bajo su control e instalan web shells sin ningún tipo de autenticación.
Anatomía técnica de la vulnerabilidad
La causa raíz de la vulnerabilidad, tal y como informa Wordfence, reside en la función process_filter() del módulo Calculation Addon. Esta función concatena los valores de los campos de formulario enviados por el usuario en una cadena de código PHP sin el escape adecuado y, a continuación, pasa el resultado a eval(). La función sanitize_text_field() que se aplica a la entrada no escapa las comillas simples ni otros caracteres significativos en el contexto del código PHP.
Esto permite que un atacante no autenticado inyecte y ejecute código PHP arbitrario en el servidor enviando un valor especialmente manipulado en cualquier campo de formulario de tipo cadena (texto, email, URL, select, radio), siempre que el formulario utilice la función «Complex Calculation». Según la entrada en NVD, la vulnerabilidad ha recibido una calificación CVSS de 9.8, prácticamente máxima y crítica.
La explotación satisfactoria ofrece a los atacantes la posibilidad de:
- Crear cuentas de administrador bajo su control
- Desplegar web shells para lograr acceso persistente
- Profundizar en la infraestructura del servidor y consolidar su presencia
Actividad de explotación observada
Según Wordfence, la explotación activa de CVE-2026-3300 se observa desde el 13 de abril de 2026. En el momento de la publicación se han bloqueado más de 29 300 intentos de ataque, y 16 ataques se han registrado en las últimas 24 horas. La carga útil más habitual se orienta a la creación de una cuenta de administrador con el nombre «diksimarina» y la dirección de correo electrónico [email protected].
Direcciones IP de origen de los ataques registradas:
202.56.2.126209.146.60.2615.235.166.182402:1f00:8000:800::40db185.78.165.153
Debe tenerse en cuenta que estos indicadores de compromiso se han obtenido a partir de la telemetría de un único proveedor de seguridad y pueden cambiar con el tiempo.
Campañas de skimming: abuso de infraestructura de confianza
Paralelamente a la explotación de Everest Forms Pro, los investigadores de Sansec han identificado varias campañas de robo de datos de pago que emplean un enfoque fundamentalmente nuevo para camuflar la infraestructura maliciosa.
Stripe como servidor de mando
Una de las campañas, descrita por Sansec, utiliza Stripe como servidor de mando y almacenamiento de los datos robados. Los atacantes cargan el código malicioso a través de un contenedor de Google Tag Manager, y el skimmer ofuscado se extrae de un campo de metadatos de un registro de cliente de Stripe (identificador cus_TfFjAAZQNOYENR).
La idea clave del ataque es que los dominios googletagmanager.com y api.stripe.com son, por defecto, de confianza para las tiendas online y son permitidos por las políticas de Content Security Policy y los filtros de red. En las páginas de checkout de Magento y Adobe Commerce, el skimmer intercepta información financiera, direcciones de facturación, correos electrónicos y números de teléfono, guardándolos en el localStorage del navegador antes de enviarlos a la cuenta del atacante en Stripe.
Como señalan los investigadores, cada tarjeta robada se convierte en un «cliente» en la cuenta del atacante, y la base de clientes de Stripe se transforma en un almacenamiento gratuito y fiable para la exfiltración. Se presupone que el registro de Stripe que contiene el skimmer se creó el 24 de diciembre de 2025, lo que indica una posible actividad de la operación desde esa fecha. Sansec también descubrió una segunda variante del cargador que utiliza Google Firestore en lugar de Stripe para fines similares.
Operación GorgonAgora
Por separado, Sansec describe la operación a gran escala GorgonAgora, que incluye, según los investigadores, 5 714 tiendas online falsas en la zona .shop que imitan a las marcas Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney y Toyota. Se presume que la campaña está activa desde agosto de 2025.
Todas las tiendas funcionan sobre el stack Medusa.js y cargan un único SDK de checkout, que muestra un iframe de Stripe falso y envía los datos de las tarjetas a través de una conexión WebSocket cifrada (AES-256-GCM) a un único servidor en Moldavia. Es destacable que la infraestructura admite la retransmisión de 3D Secure en tiempo real: cuando el banco de la víctima devuelve una solicitud 3DS, el operador la reenvía de nuevo al comprador a través del iframe falso, garantizando la finalización de la transacción y la invisibilidad del robo.
Evaluación del impacto
Aunque el número de instalaciones activas de Everest Forms Pro es relativamente reducido (unas 4 000), la naturaleza de la vulnerabilidad —Remote Code Execution no autenticada con una calificación CVSS de 9.8— convierte a cada sitio sin parchear en un objetivo para ataques automatizados. El intervalo entre la publicación del parche (18 de marzo) y el inicio de la explotación observada (13 de abril) fue inferior a un mes, algo típico para vulnerabilidades críticas en plugins de WordPress.
Las campañas de skimming representan una amenaza de otra magnitud: el abuso de servicios de confianza (Stripe, Google Tag Manager, Google Firestore) socava los modelos de defensa tradicionales basados en listas blancas de dominios y en Content Security Policy. Los propietarios de tiendas en Magento y Adobe Commerce se encuentran en la zona de mayor riesgo.
Recomendaciones prácticas
Para propietarios de sitios con Everest Forms Pro:
- Actualice inmediatamente el plugin a la versión 1.9.13 o superior
- Revise la lista de administradores en busca de cuentas desconocidas, en particular «diksimarina»
- Analice el sistema de archivos en busca de web shells y archivos no autorizados
- Bloquee las direcciones IP indicadas a nivel de WAF o firewall
- Si no es posible actualizar, desactive la función «Complex Calculation» o todo el plugin hasta aplicar el parche
Para propietarios de tiendas online (Magento, Adobe Commerce):
- Realice una auditoría de los contenedores de Google Tag Manager en busca de etiquetas y scripts no autorizados
- Compruebe que en las páginas de checkout no se cargan scripts que accedan a la API de Stripe con claves desconocidas
- Implemente monitorización de integridad de scripts en las páginas críticas (checkout, carrito)
- Considere el uso de Subresource Integrity (SRI) para scripts externos, cuando sea técnicamente posible
Los propietarios de sitios WordPress con Everest Forms Pro deberían considerar la actualización a la versión 1.9.13 como una prioridad de tipo zero-day: el parche está disponible desde hace ya tres meses y los ataques automatizados continúan. Para los operadores de comercio electrónico, la conclusión clave derivada de las campañas de skimming es que la confianza en un dominio (Stripe, Google) ya no es base suficiente para la seguridad: se requiere control a nivel de scripts y claves de API concretas, y no solo de políticas de dominios.
