Des pirates informatiques exploitent actuellement une faille de sécurité critique dans l’extension Everest Forms Pro pour WordPress. Ce logiciel malveillant leur octroie un contrôle total sur les sites web affectés.
Cette vulnérabilité, référencée CVE-2026-3300, concerne les versions 1.9.12 et antérieures de l’extension. Elle peut être exploitée sans authentification et permet d’exécuter du code arbitraire sur le serveur.
Everest Forms Pro est un module complémentaire payant pour l’extension de création de formulaires Everest Forms sur WordPress. Les utilisateurs s’en servent pour créer des formulaires de contact, d’inscription, de paiement ou d’autres applications personnalisées.
Le problème provient de la fonctionnalité « Complex Calculation » de l’extension. Celle-ci récupère les valeurs soumises dans les champs d’un formulaire et les intègre dans une chaîne de code PHP. Le code ainsi généré est ensuite exécuté via la fonction ‘eval()’ de PHP.
Bien que l’entrée utilisateur soit traitée par une fonction de nettoyage, cette dernière n’échappe pas les apostrophes simples (‘) ni d’autres caractères qui influencent la syntaxe PHP. Un attaquant peut donc fermer la chaîne de caractères prévue, y insérer du code PHP malveillant, puis commenter le reste du code généré pour parvenir à une exécution de commandes sur le serveur.
Les données de télémétrie du pare-feu Wordfence montrent que cette vulnérabilité est exploitée pour créer des comptes administrateur frauduleux. « L’attaquant soumet une valeur pour un champ texte qui commence par une apostrophe simple pour fermer la chaîne, puis il ajoute une instruction PHP qui appelle la fonction wp_insert_user() », détaille un rapport de Wordfence. « Cette instruction crée un nouveau compte administrateur avec le nom d’utilisateur ‘diksimarina’. Le reste du code généré est neutralisé par un marqueur de commentaire. »
Lorsque le formulaire est traité, le code injecté s’exécute et le compte administrateur malveillant est créé. Un accès de ce niveau donne aux pirates un pouvoir absolu sur le site compromis. Ils peuvent modifier le contenu, installer des extensions, déposer des portes dérobées et accéder aux bases de données privées.
Un chercheur a signalé cette faille via Wordfence en février. Le développeur d’Everest Forms a publié un correctif le 18 mars. Les tentatives d’exploitation actives ont cependant commencé le 13 avril. Le pare-feu Wordfence a depuis bloqué plus de 29 300 attaques.
Source : Wordfence
Selon Wordfence, les tentatives d’attaque proviennent principalement de deux adresses IP, mais d’autres adresses compromettues sont fournies comme indicateurs de compromission. Il est recommandé de bloquer ces adresses.
Les administrateurs de sites sont aussi invités à examiner leurs fichiers journaux et la liste de leurs comptes administrateurs pour détecter toute activité suspecte. Ils doivent porter une attention particulière à la chaîne de caractères « diksimarina« .