Cảnh báo: Lỗ hổng nghiêm trọng trên plugin Everest Forms Pro đang bị khai thác để chiếm quyền điều khiển website

Một lỗ hổng bảo mật nghiêm trọng trong plugin Everest Forms Pro dành cho WordPress đang bị các đối tượng tấn công khai thác tích cực. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa (RCE), dẫn đến nguy cơ bị chiếm quyền kiểm soát toàn bộ website.

Chi tiết về lỗ hổng CVE-2026-3300

Lỗ hổng được định danh là CVE-2026-3300 với điểm CVSS tối đa 9.8, ảnh hưởng đến tất cả các phiên bản của plugin từ 1.9.12 trở xuống. Theo phân tích từ Wordfence, vấn đề nằm ở hàm process_filter() trong tính năng Calculation Addon. Hàm này thực hiện nối các giá trị từ trường biểu mẫu do người dùng nhập vào một chuỗi mã PHP mà không qua bước kiểm tra (escaping) đúng cách trước khi đưa vào hàm eval().

Ngay cả khi đã sử dụng hàm sanitize_text_field(), hệ thống vẫn không thể ngăn chặn việc chèn các ký tự đặc biệt hoặc mã PHP. Điều này cho phép những kẻ tấn công chưa xác thực có thể chèn và thực thi mã PHP tùy ý trên server thông qua các trường nhập liệu dạng chuỗi (text, email, URL, v.v.) nếu biểu mẫu đó sử dụng tính năng ‘Complex Calculation’.

Nguy cơ và tình hình khai thác

Việc khai thác thành công lỗ hổng này cho phép kẻ tấn công thực hiện các hành vi nguy hiểm như:

• Tạo tài khoản quản trị viên trái phép.
• Triển khai web shell để duy trì quyền truy cập lâu dài.
• Mở rộng phạm vi tấn công sâu hơn vào hệ thống server.

Dữ liệu từ Wordfence cho thấy các cuộc tấn công đã bắt đầu từ ngày 13/4/2026. Đến nay, đã có hơn 29.300 nỗ lực exploit bị chặn đứng. Các đối tượng tấn công thường nhắm đến việc tạo tài khoản quản trị có tên “diksimarina”.

Khuyến nghị

Nhà phát triển đã phát hành bản vá cho lỗ hổng này trong phiên bản 1.9.13 kể từ ngày 18/3/2026. Quản trị viên website đang sử dụng Everest Forms Pro được khuyến cáo kiểm tra và cập nhật plugin lên phiên bản mới nhất ngay lập tức để đảm bảo an toàn cho hệ thống.

Nguồn tham khảo: The Hacker News