WordPress用プラグイン「Everest Forms Pro」に深刻な脆弱性が確認され、脆弱なウェブサイトを乗っ取るために積極的に悪用されています。
WordPressセキュリティ企業Wordfenceによる最新の分析によると、このリモートコード実行の脆弱性を利用すると、未認証の攻撃者がターゲットサーバー上でPHPを実行し、サイトを乗っ取ることができます。
CVE-2026-3300として追跡されているこの脆弱性は、CVSSスコア9.8と評価されており、バージョン1.9.12以前のすべてのリリースが影響を受けます。Everest Forms ProはWPEverestが開発した商用フォームビルダーで、約4,000件のアクティブインストールがあります。
この脆弱性は、h0xiloというハンドルネームを使用するセキュリティ研究者によって、Wordfenceのバグバウンティプログラムに報告されました。
WPEverestはバージョン1.9.13でこの脆弱性を修正しました。それ以前のバージョンを使用しているサイトは依然として危険な状態にあり、管理者は速やかにアップデートするよう強く求められています。
WordPressプラグイン攻撃の詳細はこちら:主要なWordPressプラグインの脆弱性が4時間以内に悪用される事態に
サニタイズをすり抜けるシングルクォート
この脆弱性の核心は、フォームの計算式をPHPのeval()関数で実行するプラグインのCalculationアドオンにあります。
送信されたフィールドの値は実行前にそのPHP文字列へ連結されますが、sanitize_text_field()はシングルクォートをエスケープしません。攻撃者はクォートで値を開始することで外側の文字列から抜け出し、eval()が実行するPHPコードを注入できてしまいます。
PHPコードインジェクションにさらされるのは、「Complex Calculation(複雑な計算)」機能を有効にしているフォームのみです。該当するフォームでは、テキスト、メール、URL、セレクト、ラジオの各フィールドがいずれも侵入口になり得ます。
攻撃が成功した場合、不正な管理者アカウントの作成、ウェブシェルの設置、さらなる足がかりの確保が可能となります。
不正な管理者アカウントとブロックされた攻撃
Wordfenceのテレメトリーデータによると、攻撃は公開開示から約2週間後の2026年4月13日に開始されました。主な攻撃ペイロードは「diksimarina」という名前の管理者アカウント登録を試みるものでした。
同社によると、ファイアウォールはこれまでに29,300件を超える悪用の試みをブロックしたとのことです。5月16日の急増だけで、1日に17,900件以上がブロックされました。
ログを確認している防御担当者は、以下の侵害指標(IoC)に注意してください。
-
「diksimarina」という名前の管理者アカウント
-
メールアドレス [email protected]
-
26,300件以上のブロックの発生源である202.56.2.126からのリクエスト
攻撃者に管理者アクセスを与える脆弱性は、WordPress運営者にとって繰り返し頭を悩ませる問題となっています。
翻訳元: https://www.infosecurity-magazine.com/news/everest-forms-pro-rce-actively/
