9,8 de cada 10: hackers atacan masivamente sitios de WordPress aprovechando una vulnerabilidad en el formulario de contacto
Un solo carácter en la solicitud bastó para que una cuenta ajena obtuviera permisos elevados.
Incluso un formulario de contacto común puede convertirse en un vector inicial de ataque si el manejador de datos empieza a ejecutar el texto enviado como código. Los atacantes han empezado a explotar activamente la vulnerabilidad crítica CVE-2026-3300 (9.8 en la escala CVSS 3.1, AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) en Everest Forms Pro para WordPress. El fallo afecta a las versiones 1.9.12 y anteriores y permite ejecutar código arbitrario en el servidor que aloja el sitio sin necesidad de autenticación.
Everest Forms Pro amplía las funciones del plugin Everest Forms y ayuda a crear formularios para solicitudes, registros, pagos y otros escenarios. El problema surgió en la función Complex Calculation, que toma valores de los campos del formulario, los inserta en una cadena de código PHP y luego la ejecuta mediante eval(). Una función así ejecuta el código recibido, por lo que un error en el tratamiento de los datos se convierte inmediatamente en un mecanismo de ataque peligroso.
Los datos de entrada pasaban por sanitize_text_field(), pero el filtro no escapaba las comillas simples ni otros caracteres que afectan a la sintaxis de PHP. Debido a ello, un atacante podía cerrar la cadena original, añadir su propia instrucción PHP y comentar el resto del código generado para evitar errores.
Según Wordfence, la vulnerabilidad ya se está utilizando en ataques reales para crear cuentas administrativas no autorizadas. En uno de los escenarios registrados, los atacantes enviaron a través de un campo de texto un valor que invocaba wp_insert_user() y creaba un administrador con el nombre diksimarina.
El acceso administrativo otorga control total sobre el sitio comprometido. Con una cuenta así se puede modificar el contenido de las páginas, instalar plugins y temas, añadir puertas traseras ocultas y web shells, así como acceder a bases de datos privadas.
La vulnerabilidad fue descubierta por un investigador con el seudónimo h0xilo ya en febrero. El desarrollador de Everest Forms publicó la corrección el 18 de marzo; sin embargo, según Wordfence los ataques comenzaron el 13 de abril. Durante el periodo observado, la empresa registró más de 29 300 intentos de explotación.
Se recomienda a los administradores de sitios actualizar Everest Forms Pro a la versión corregida, revisar los registros y la lista de administradores en busca de actividad sospechosa, especialmente la presencia de la entrada diksimarina. Wordfence también aconseja bloquear las direcciones IP 202.56.2[.]126 y 209.146.60.26, que aparecieron con mayor frecuencia en los intentos de explotación.
Aunque la corrección ya está disponible, una parte de los sitios con versiones obsoletas de Everest Forms Pro ya ha sido objeto de una oleada de ataques. Por ello, la tarea principal de los defensores ahora es cerrar la vulnerabilidad y comprobar si ha aparecido un administrador no autorizado en el sitio.