ハッカーがEverest Forms Proプラグインの重大な脆弱性(CVE-2026-3300)を積極的に悪用しており、WordPressウェブサイトを完全に制御できる状態に置かれています。
この脆弱性はプラグインのバージョン1.9.12以前に影響し、認証なしにサーバー上で任意のコードを実行するために利用される可能性があります。
Everest Forms Proは、WordPressのフォームビルダープラグイン「Everest Forms」の商用アドオンです。問い合わせフォーム、登録フォーム、支払いフォームなど、さまざまなカスタムフォームの作成に使用されています。
CVE-2026-3300の脆弱性は、プラグインの「Complex Calculation(複合計算)」機能に存在します。この機能はフォームフィールドから送信された値を受け取ってPHPのコード文字列に挿入し、PHPの ‘eval ()’ 関数を使って実行します。
ユーザー入力は ‘sanitize_text_field()’ 関数を通過しますが、この関数はシングルクォート(’)やPHPの構文に影響するその他の文字をエスケープしません。
このため、攻撃者は意図された文字列を閉じ、任意のPHPコードを挿入し、残りの生成コードをコメントアウトすることで、サーバー上でコードを実行できてしまいます。
WordPressのファイアウォール・マルウェアスキャナーであるWordfenceのテレメトリデータによると、この脆弱性は実際に悪用されており、不正な管理者アカウントの作成に使われていることが確認されています。
「攻撃者はテキストフィールドにシングルクォートで始まる値を送信し、囲んでいる文字列リテラルを閉じます。続いて ‘wp_insert_user()’ を呼び出すPHPステートメントを注入し、ユーザー名 ‘diksimarina’ の新しい管理者アカウントを作成します」と、Wordfenceのレポートは説明しています。
「末尾の ‘//’ コメントマーカーにより、閉じクォートを含む残りの生成PHPコードはコメントとして扱われ、構文エラーが発生しません。」
「フォームが処理されて計算式が評価されると、注入されたPHPコードが実行され、悪意のある管理者アカウントが作成されます。」
管理者レベルのアクセス権を得た攻撃者は、侵害したウェブサイトに対してコンテンツの改ざん、プラグインやテーマのインストール、バックドアやWebシェルの設置、プライベートデータベースへのアクセスなど、高リスクな操作を自由に行えるようになります。
セキュリティ研究者h0xiloは2月にWordfenceを通じてCVE-2026-3300の脆弱性を報告し、3月18日にEverest Formsの開発者がこの問題に対処するパッチをリリースしました。
Wordfenceのデータによると、積極的な悪用は4月13日から始まっており、ファイアウォールは29,300件を超える試みをブロックしています。
Wordfenceによると、悪用の試みは主に2つのIPアドレス(202.56.2[.]126および209.146.60.26)から発信されており、これらをブロックすることを防御側に推奨しています。
なお、Wordfenceのレポートには侵害の指標(IOC)として、複数の問題のIPアドレスが記載されています。
ウェブサイトの管理者は、ログファイルと管理者アカウントを確認し、特に「diksimarina」という文字列を含む不審なアクティビティがないか調査することも推奨されています。
攻撃者より先に、すべてのレイヤーをテストする
セキュリティチームが記録に残せる攻撃の成功は54%にとどまり、アラートが発報されるのはわずか14%です。残りは環境内を検知されることなく移動しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーション(BAS)を活用してSIEMとEDRのルールを検証し、脅威が検知をすり抜けないようにする方法を解説しています。
