Un fallo crítico permite tomar el control de webs de WordPress si no se actualiza el complemento.
Algunas páginas hechas con WordPress tienen un problema de seguridad importante. El problema está en Everest Forms Pro, una herramienta de pago para crear formularios. Muchas webs la usan para páginas de contacto, registros, pagos y otros datos de usuarios.
El fallo se llama CVE-2026-3300. Afecta a las versiones 1.9.12 y anteriores. Una persona atacante no necesita entrar con una cuenta. Puede enviar datos por un formulario y conseguir que el servidor ejecute órdenes. Así puede tomar el control de la web.
El peligro viene de una función de cálculos complejos. Esa función usa datos escritos en campos del formulario. Después los mete en código PHP. Si el dato está preparado de una forma especial, el código normal se rompe y se añade código malicioso.
Wordfence, una empresa de seguridad para WordPress, ha visto ataques reales. En esos ataques se crean cuentas falsas de administrador. Una cuenta de administrador puede cambiar textos, instalar temas o complementos, guardar puertas de entrada y ver bases de datos privadas.
El creador de Everest Forms publicó una corrección el 18 de marzo de 2026. Según Wordfence, los ataques empezaron el 13 de abril y su cortafuegos bloqueó más de 29.300 intentos. Los administradores deben actualizar el complemento, revisar las cuentas de administrador y mirar los registros de la web.
Basado en: Bill Toulas, BleepingComputer