Die kritische Schwachstelle zur entfernten Codeausführung CVE-2026-3300 (CVSS 9,8) im Plugin Everest Forms Pro für WordPress wird aktiv von Angreifern ausgenutzt, um Websites vollständig zu kompromittieren. Nach Angaben von Wordfence wurden seit dem 13. April 2026 mehr als 29.300 blockierte Exploit-Versuche registriert. Die Schwachstelle betrifft alle Versionen des Plugins bis einschließlich 1.9.12, während die Korrektur in Version 1.9.13 verfügbar ist, die am 18. März 2026 veröffentlicht wurde. Betreiber von Websites mit installiertem Everest Forms Pro (rund 4.000 aktive Installationen) müssen das Plugin umgehend aktualisieren – Angreifer legen ohne jegliche Authentifizierung eigene Administratorkonten an und installieren Web-Shells.
Technische Anatomie der Schwachstelle
Die eigentliche Ursache der Schwachstelle liegt nach Angaben von Wordfence in der Funktion process_filter() des Calculation Addon. Diese Funktion konkateniert die vom Benutzer übermittelten Formularfeldwerte zu einem PHP-Code-String, ohne ihn angemessen zu maskieren, und übergibt das Ergebnis anschließend an eval(). Die auf die Eingabe angewendete Funktion sanitize_text_field() maskiert weder einfache Anführungszeichen noch andere Zeichen, die im Kontext von PHP-Code eine besondere Bedeutung haben.
Dies ermöglicht es einem nicht authentifizierten Angreifer, beliebigen PHP-Code auf dem Server einzuschleusen und auszuführen, indem er einen speziell präparierten Wert in ein beliebiges Zeichenkettenfeld des Formulars sendet (Text, E-Mail, URL, Select, Radio), sofern das Formular die Funktion „Complex Calculation“ verwendet. Laut dem Eintrag in der NVD erhielt die Schwachstelle mit einem CVSS-Score von 9,8 eine nahezu maximale, kritische Bewertung.
Eine erfolgreiche Ausnutzung ermöglicht Angreifern:
- Eigene Administratorkonten anzulegen
- Web-Shells für dauerhaften Zugriff zu installieren
- weiter in die Serverinfrastruktur vorzudringen und ihre Präsenz zu verfestigen
Beobachtete Exploit-Aktivität
Laut Wordfence wird CVE-2026-3300 seit dem 13. April 2026 aktiv ausgenutzt. Zum Zeitpunkt der Veröffentlichung wurden mehr als 29.300 Angriffsversuche blockiert, davon 16 Angriffe in den letzten 24 Stunden. Die am weitesten verbreitete Payload zielt darauf ab, ein Administratorkonto mit dem Namen „diksimarina“ und der E-Mail-Adresse [email protected] anzulegen.
Erfasste IP-Adressen der Angriffsquellen:
202.56.2.126209.146.60.2615.235.166.182402:1f00:8000:800::40db185.78.165.153
Es ist zu beachten, dass diese Indikatoren einer Kompromittierung aus der Telemetrie eines einzelnen Sicherheitsanbieters stammen und sich im Laufe der Zeit ändern können.
Skimmer-Kampagnen: Missbrauch vertrauenswürdiger Infrastruktur
Parallel zur Ausnutzung von Everest Forms Pro haben Forscher von Sansec mehrere Kampagnen zum Diebstahl von Zahlungsdaten identifiziert, die einen grundsätzlich neuen Ansatz zur Tarnung der bösartigen Infrastruktur nutzen.
Stripe als Kommandoserver
Eine der Kampagnen, von Sansec beschrieben, verwendet Stripe als Kommandoserver und Speicherort für die gestohlenen Daten. Angreifer laden den Schadcode über einen Container von Google Tag Manager, und der obfuskierte Skimmer wird aus einem Metadatenfeld eines Stripe-Kundeneintrags (Identifikator cus_TfFjAAZQNOYENR) extrahiert.
Der Kern der Attacke besteht darin, dass die Domains googletagmanager.com und api.stripe.com für Onlineshops standardmäßig als vertrauenswürdig gelten und von Content-Security-Policy-Regeln und Netzfiltern zugelassen werden. Auf den Checkout-Seiten von Magento und Adobe Commerce fängt der Skimmer Finanzinformationen, Rechnungsadressen, E-Mail-Adressen und Telefonnummern ab, speichert sie im localStorage des Browsers und sendet sie anschließend an das Stripe-Konto des Angreifers.
Wie die Forscher anmerken, wird jede gestohlene Karte zu einem „Kunden“ im Konto des Angreifers, und die Stripe-Kundendatenbank verwandelt sich in einen kostenlosen und zuverlässigen Speicher für die Exfiltration. Der Stripe-Eintrag, der den Skimmer enthält, wurde vermutlich am 24. Dezember 2025 erstellt, was auf eine mögliche Aktivität der Operation seit diesem Datum hinweist. Sansec entdeckte außerdem eine zweite Loader-Variante, die anstelle von Stripe Google Firestore zu ähnlichen Zwecken nutzt.
Operation GorgonAgora
Separat beschreibt Sansec die groß angelegte Operation GorgonAgora, die nach Angaben der Forscher 5.714 gefälschte Onlineshops in der .shop-Zone umfasst, die Marken wie Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney und Toyota imitieren. Die Kampagne ist vermutlich seit August 2025 aktiv.
Alle Shops laufen auf einem Medusa.js-Stack und laden ein einheitliches Checkout-SDK, das ein gefälschtes Stripe-iframe anzeigt und Kartendaten über eine verschlüsselte WebSocket-Verbindung (AES-256-GCM) an einen zentralen Server in Moldawien überträgt. Bemerkenswert ist, dass die Infrastruktur eine Echtzeit-Weiterleitung von 3D Secure unterstützt: Wenn die Bank des Opfers eine 3DS-Anfrage zurücksendet, wird diese vom Betreiber über das gefälschte iframe an den Käufer zurückproxies, sodass die Transaktion abgeschlossen werden kann und der Diebstahl unbemerkt bleibt.
Bewertung der Auswirkungen
Obwohl die Zahl der aktiven Installationen von Everest Forms Pro mit rund 4.000 relativ gering ist, macht die Art der Schwachstelle – nicht authentifizierte entfernte Codeausführung mit einem CVSS-Score von 9,8 – jede nicht gepatchte Site zu einem Ziel automatisierter Angriffe. Der Zeitraum zwischen der Veröffentlichung des Patches (18. März) und dem Beginn der beobachteten Ausnutzung (13. April) betrug weniger als einen Monat, was für kritische Schwachstellen in WordPress-Plugins typisch ist.
Die Skimmer-Kampagnen stellen eine Bedrohung ganz anderen Ausmaßes dar: Der Missbrauch vertrauenswürdiger Dienste (Stripe, Google Tag Manager, Google Firestore) untergräbt herkömmliche Schutzmodelle, die auf Domain-Whitelists und CSP basieren. Betreiber von Shops auf Magento und Adobe Commerce befinden sich in der höchsten Risikozone.
Praktische Empfehlungen
Für Betreiber von Websites mit Everest Forms Pro:
- Aktualisieren Sie das Plugin umgehend auf Version 1.9.13 oder höher
- Überprüfen Sie die Liste der Administratoren auf unbekannte Konten, insbesondere „diksimarina“
- Scannen Sie das Dateisystem nach Web-Shells und nicht autorisierten Dateien
- Blockieren Sie die genannten IP-Adressen auf WAF- oder Firewall-Ebene
- Falls ein Update nicht möglich ist – deaktivieren Sie die Funktion „Complex Calculation“ oder das gesamte Plugin, bis der Patch eingespielt ist
Für Betreiber von Onlineshops (Magento, Adobe Commerce):
- Führen Sie ein Audit der Google-Tag-Manager-Container auf nicht autorisierte Tags und Skripte durch
- Prüfen Sie, ob auf den Checkout-Seiten Skripte geladen werden, die mit unbekannten Schlüsseln auf die Stripe-API zugreifen
- Implementieren Sie eine Integritätsüberwachung für Skripte auf kritischen Seiten (Checkout, Warenkorb)
- Erwägen Sie den Einsatz von Subresource Integrity (SRI) für externe Skripte, wo dies technisch möglich ist
Betreiber von WordPress-Sites mit Everest Forms Pro sollten das Update auf Version 1.9.13 als Null-Tages-Priorität betrachten – der Patch ist bereits seit drei Monaten verfügbar, während automatisierte Angriffe weiterhin andauern. Für Betreiber im E‑Commerce ist die zentrale Lehre aus den Skimmer-Kampagnen, dass Vertrauen in eine Domain (Stripe, Google) nicht mehr als ausreichende Sicherheitsgrundlage gilt: Erforderlich ist eine Kontrolle auf Ebene konkreter Skripte und API-Schlüssel, nicht nur auf Basis von Domain-Richtlinien.
