Un fallo crítico permite tomar el control de webs de WordPress si no se actualiza el complemento.
Una vulnerabilidad en Everest Forms Pro está siendo explotada para comprometer sitios de WordPress. El complemento, usado para formularios de contacto, registro, pago y otros procesos personalizados, queda expuesto en sus versiones 1.9.12 y anteriores. El fallo, catalogado como CVE-2026-3300, permite ejecutar código arbitrario en el servidor sin credenciales.
La raíz del problema está en la función Complex Calculation. Esta característica incorpora valores enviados por los usuarios a código PHP y después lo evalúa. Aunque el complemento aplica una limpieza inicial, ese filtrado no neutraliza caracteres que alteran la sintaxis, de modo que una entrada manipulada puede cerrar la cadena, insertar instrucciones propias y convertir el resto en comentario.
Wordfence ha detectado explotación en entornos reales. La técnica observada crea cuentas de administrador no autorizadas, entre ellas una vinculada al nombre diksimarina. Ese nivel de acceso permite modificar contenido, instalar extensiones, implantar accesos persistentes y consultar bases de datos privadas, por lo que el riesgo abarca todo el sitio.
El investigador h0xilo comunicó la vulnerabilidad en febrero mediante Wordfence, y el desarrollador publicó una actualización correctiva el 18 de marzo de 2026. La actividad maliciosa comenzó el 13 de abril y el cortafuegos de Wordfence bloqueó más de 29.300 intentos. La respuesta recomendada es actualizar, revisar registros, auditar cuentas con permisos elevados y bloquear indicadores.
Basado en: Bill Toulas, BleepingComputer