Hackers estão explorando ativamente uma vulnerabilidade crítica identificada como
CVE-2026-3300
no plugin Everest Forms Pro, o que pode lhes permitir assumir o controle total de um site WordPress.
A falha afeta as versões 1.9.12 e anteriores do plugin e pode ser explorada sem autenticação para executar código arbitrário no servidor. O patch foi liberado em 18 de março de 2026, na versão 1.9.13.
O Everest Forms Pro é um complemento comercial do construtor de formulários Everest Forms para WordPress, usado para criar formulários de contato, registro, pagamento e outros tipos de formulários personalizados.
A vulnerabilidade
CVE-2026-3300
está na função Complex Calculation do plugin, que recebe valores enviados por campos de formulário e os insere em uma string de código PHP. Em seguida, o código resultante é executado com a função eval() do PHP.
“A função process_filter() do complemento Calculation concatena valores de campos enviados pelo usuário em uma string de código PHP sem o devido escape antes de passá-la para eval()”, informou a Wordfence.
Embora a entrada do usuário passe pela função sanitize_text_field(), ela não remove aspas simples (') nem outros caracteres que afetam a sintaxe do PHP. Isso permite que um invasor encerre a string prevista, injete código PHP arbitrário e comente o restante do código gerado para conseguir executar comandos no servidor.
“Isso ocorre porque a função sanitize_text_field() aplicada à entrada não faz escape de aspas simples nem de outros caracteres de contexto de código PHP”, acrescentou a empresa.
Dados de telemetria do firewall e do scanner de malware da Wordfence para WordPress mostram que a vulnerabilidade está sendo explorada em ambiente real para criar contas de administrador falsas.
“O invasor envia um valor para um campo de texto que começa com uma aspas simples para encerrar a string envolvida, seguido por uma instrução PHP que chama wp_insert_user() para criar uma nova conta de administrador com o nome de usuário 'diksimarina'”, explica um relatório da Wordfence.
“O marcador de comentário // no final garante que o restante do código PHP gerado, inclusive a aspas de fechamento, seja tratado como comentário e não provoque erro de sintaxe.”
“Quando o formulário é processado e a cálculo é avaliada, o código PHP injetado é executado e a conta de administrador maliciosa é criada.”
A exploração bem-sucedida da falha pode permitir que agentes maliciosos sem autenticação executem código PHP arbitrário no servidor, criando contas administrativas falsas, implantando web shells e encontrando outras formas de avançar dentro do ambiente e estabelecer acesso persistente.
Segundo a Wordfence, as tentativas de exploração começaram em 13 de abril de 2026.
Mais de 29.300 tentativas de exploit contra a falha já foram bloqueadas até agora, sendo 16 apenas nas últimas 24 horas.
A Wordfence afirma que as tentativas de exploração partem principalmente de dois endereços IP, 202.56.2[.]126 e 209.146.60.26, e recomenda que as equipes de defesa os bloqueiem. O relatório também traz outros endereços IP associados à atividade maliciosa como indicadores de comprometimento, ou IOCs:
202.56.2.126
209.146.60.26
15.235.166.18
2402:1f00:8000:800::40db
185.78.165.153
O payload mais comum envolve tentativas de criar uma conta de administrador chamada “diksimarina” no site comprometido, com o e-mail [email protected].
Administradores de sites também são orientados a revisar arquivos de log e contas de administrador em busca de qualquer atividade suspeita, especialmente registros que contenham a string “diksimarina”.
Ataques de skimmer exploram a Stripe como C2
A divulgação ocorre no momento em que a Sansec alertou para várias campanhas de skimmer, incluindo uma que usa a Stripe como servidor de comando e controle (C2) e como ponto de exfiltração de dados, em uma tentativa de explorar a reputação da marca e driblar regras de Política de Segurança de Conteúdo e filtros de rede.
“O invasor trata a Stripe como infraestrutura gratuita, não como uma forma de lavar cobranças”, observou a Sansec.
“A Stripe oferece a eles um banco de dados gravável para cartões roubados e um endpoint de hospedagem de código para o skimmer, ambos atrás de um domínio que as regras de CSP e os filtros de rede confiam por padrão.”
A campanha depende do Google Tag Manager (GTM) e dos domínios da Stripe, googletagmanager.com e api.stripe.com, ambos implicitamente confiáveis por lojas online.
O código malicioso é carregado de um container do GTM e executado em todas as páginas que o carregam.
Em páginas de checkout de Magento e Adobe Commerce, o ataque extrai um skimmer ofuscado do campo de metadados de uma conta de cliente da Stripe, neste caso “cus_TfFjAAZQNOYENR”, e salva no localStorage informações financeiras, dados de cobrança, e-mail e números de telefone inseridos por usuários desavisados.
Em seguida, os dados capturados são exfiltrados para a conta da Stripe controlada pelo invasor.
“Cada cartão roubado se torna um ‘cliente’ na conta do invasor”, disse a empresa de segurança de comércio eletrônico.
“Quando a operação dá certo, o loader apaga a entrada do localStorage, para que o mesmo registro não seja enviado duas vezes.
Depois, o invasor lista os cartões roubados chamando a mesma API com a mesma chave.
O banco de dados de clientes da Stripe vira um ponto de exfiltração gratuito e durável.”
Segundo a apuração, o registro de cliente da Stripe que contém o skimmer foi criado em 24 de dezembro de 2025, o que indica que a operação pode estar ativa desde então.
A Sansec disse também ter identificado uma segunda variante do loader que usa o Google Firestore em vez da Stripe, embora o objetivo final seja o mesmo: abusar de um serviço confiável como canal oculto, com baixa probabilidade de bloqueio por lojas de comércio eletrônico.
As descobertas coincidem com uma operação em larga escala chamada GorgonAgora, que usou um cluster de 5.714 lojas falsas com domínio .shop, imitando marcas como Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney e Toyota.
As páginas de checkout dessas lojas direcionavam os dados de cartões roubados para um único servidor de skimmer na Moldávia.
A campanha está em andamento desde agosto de 2025.
“Cada loja executa a mesma pilha de comércio Medusa.js e carrega o mesmo SDK de checkout personalizado, que renderiza um iframe falso da Stripe e exfiltra os dados do cartão por meio de um WebSocket criptografado para um único servidor na Moldávia”, afirmou a empresa holandesa.
“A exfiltração ocorre via WebSocket com um payload AES-256-GCM, e o C2 mantém um relay 3D Secure ao vivo: quando o banco da vítima retorna um desafio 3DS, o operador o repassa ao consumidor por meio do iframe falso, para que a transação seja concluída e o roubo permaneça invisível.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...