Un fallo crítico permite tomar el control de webs de WordPress si no se actualiza el complemento.
Administradores de WordPress se enfrentan a una amenaza activa relacionada con Everest Forms Pro, un complemento comercial para crear formularios de contacto y pago. La vulnerabilidad, registrada como CVE-2026-3300, afecta a las versiones 1.9.12 y anteriores y permite ejecutar código en el servidor sin autenticación.
El fallo está en la función Complex Calculation. Esta opción acepta valores enviados desde los campos del formulario y los introduce en código PHP, que después se evalúa. El complemento limpia parte del texto, pero no neutraliza caracteres que modifican la sintaxis.
Con esa debilidad, un atacante puede enviar un valor diseñado para cerrar la cadena prevista, insertar código propio y comentar el resto. Cuando el formulario se procesa, el servidor ejecuta la instrucción maliciosa. Wordfence ha observado intentos que crean una cuenta de administrador no autorizada, a veces asociada al nombre diksimarina.
El acceso de administrador permite alterar páginas, instalar complementos, colocar puertas traseras o consultar datos privados. Por eso el impacto no se limita al formulario afectado: puede comprometer la web.
El investigador h0xilo notificó el problema en febrero mediante Wordfence, y el desarrollador publicó una corrección el 18 de marzo de 2026. La explotación activa comenzó el 13 de abril, y el cortafuegos de Wordfence bloqueó más de 29.300 intentos. Los responsables de sitios deben actualizar Everest Forms Pro y comprobar registros y usuarios administradores.
Basado en: Bill Toulas, BleepingComputer