Krytyczna luka RCE w wtyczce Everest Forms Pro dla WordPress

Krytyczna luka RCE w wtyczce Everest Forms Pro do WordPress umożliwia zdalne wykonanie kodu PHP przez pola formularza. Zalecane szybkie aktualizacje i monitorowanie.
CVE-2026-3300CVSS 9.8Web

Krytyczna luka RCE w wtyczce Everest Forms Pro dla WordPress

Krytyczna luka RCE w wtyczce Everest Forms Pro do WordPress umożliwia zdalne wykonanie kodu PHP przez pola formularza. Zalecane szybkie aktualizacje i monitorowanie.

CVSS
9.8 CRITICAL
EPSS
98.49%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka Everest Forms Pro do WordPressa do wersji 1.9.12 włącznie zawiera krytyczną lukę umożliwiającą zdalne wykonanie kodu PHP poprzez wstrzyknięcie kodu w polach formularza. Luka wynika z nieprawidłowego przetwarzania danych w funkcji process_filter() dodatku Calculation Addon, która przekazuje nieodpowiednio oczyszczone dane do eval().

Wpływ biznesowy

Atakujący bez uwierzytelnienia mogą wstrzyknąć i wykonać dowolny kod PHP na serwerze, co może prowadzić do przejęcia kontroli nad serwerem, wycieku danych lub zakłócenia działania usług. Właściciele stron korzystających z tej wtyczki powinni traktować tę lukę jako krytyczną i priorytetowo podjąć działania naprawcze.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji wtyczki Everest Forms Pro i jej dodatków u dostawcy oraz ich szybkie zastosowanie. W przypadku braku łatki należy ograniczyć ekspozycję formularzy korzystających z funkcji "Complex Calculation", monitorować logi serwera pod kątem podejrzanej aktywności oraz rozważyć tymczasowe wyłączenie podatnych funkcji.

Źródła