Un fallo crítico permite tomar el control de webs de WordPress si no se actualiza el complemento.
Un fallo crítico en Everest Forms Pro está siendo usado contra sitios de WordPress. Este complemento de pago sirve para crear formularios de contacto, registro y pago. El problema afecta a la versión 1.9.12 y a todas las anteriores.
La vulnerabilidad, identificada como CVE-2026-3300, permite ejecutar código en el servidor sin iniciar sesión. El ataque aprovecha una función llamada Complex Calculation. Esa función toma valores enviados por los usuarios y los coloca dentro de código PHP. Aunque el sistema limpia parte del texto, no elimina caracteres que cambian el sentido del código.
Con un valor preparado, el atacante puede cerrar la parte esperada, añadir sus propias instrucciones y evitar que aparezca un error. Cuando el formulario se procesa, esas instrucciones se ejecutan. En ataques vistos por Wordfence, el objetivo era crear una cuenta nueva con permisos de administrador.
Una cuenta de administrador da mucho poder en WordPress. Permite cambiar contenido, instalar complementos o temas, añadir accesos ocultos y consultar datos privados. Por eso el fallo puede terminar en el control completo del sitio.
El error fue comunicado por el investigador h0xilo en febrero. La empresa responsable publicó una actualización el 18 de marzo de 2026. Wordfence detectó actividad desde el 13 de abril y bloqueó más de 29.300 intentos. Se recomienda actualizar, revisar cuentas extrañas y buscar señales como el nombre diksimarina.
Basado en: Bill Toulas, BleepingComputer