Хакери ја искористуваат критичната ранливост во додатокот за WordPress „Everest Forms Pro“ за да преземат контрола над веб-страници

Напаѓачи активно ја злоупотребуваат критичната безбедносна ранливост во Everest Forms Pro, WordPress додаток со околу 4.000 активни инсталации, за извршување произволен код, што доведува до целосно компромитирање на веб-страниците.

Станува збор за ранливоста CVE-2026-3300 (CVSS оценка: 9,8), грешка за далечинско извршување код (RCE) која ги погодува сите верзии на додатокот до и вклучително 1.9.12. Закрпа за оваа ранливост беше објавена на 18 март 2026 година, во верзија 1.9.13.

„Ова се случува поради тоа што функцијата process_filter() во Calculation Addon ги спојува вредностите внесени од корисниците во PHP код стринг без соодветно ескейпирање, пред да го проследи во eval()“, соопшти Wordfence.

„Функцијата sanitize_text_field() што се применува на внесот не ги ескейпира единечните наводници или други знаци релевантни за PHP контекст. Ова овозможува напаѓачи без автентикација да инјектираат и извршат произволен PHP код на серверот со внесување специјално креирана вредност во било кое текстуално поле (текст, е-пошта, URL, селекција, радио), кога формулар користи функција „Complex Calculation“.“

Успешно искористување на ранливоста може да им овозможи на напаѓачи без автентикација да извршат произволен PHP код на серверот, што им дозволува да создадат лажни администраторски сметки, да поставуваат веб-обвивки (web shells) и да отворат други начини за подлабоко навлегување во серверот и воспоставување постојан пристап.

Според компанијата за WordPress безбедност, напаѓачите се забележани како ја злоупотребуваат ранливоста од 13 април 2026 година. Досега се блокирани повеќе од 29.300 обиди за експлоатација. Од нив, 16 обиди биле во последните 24 часа. Најчестиот нападен payload се обидува да креира администраторска сметка со име „diksimarina“ (е-пошта: diksimarina@gmail.com) на компромитираниот сајт.

Овие напади потекнуваат од следниве IP адреси:

202.56.2.126
209.146.60.26
15.235.166.18
2402:1f00:8000:800::40db
185.78.165.153

Напади со скример (skimmer) злоупотребуваат Stripe за C2

Објавата доаѓа откако Sansec предупреди за повеќе кампањи со скримери, вклучувајќи една што користи Stripe како командно-контролен (C2) сервер и како место за ексфилтрација на податоци, со цел да се злоупотреби репутацијата на брендот и да се заобиколат правилата за Content Security Policy (CSP) и мрежните филтри.

„Напаѓачот го третира Stripe како бесплатна инфраструктура, а не како начин за перење наплати“, наведува Sansec. „Stripe им дава запишувачка база за украдени картички и endpoint за хостирање код за скримерот, сè зад домен што CSP правилата и мрежните филтри стандардно му веруваат.“

Кампањата се потпира на Google Tag Manager (GTM) и Stripe домени – googletagmanager.com и api.stripe.com – кои онлајн продавниците им веруваат по дифолт. Злонамерниот код се вчитува преку GTM контејнер и се извршува на секоја страница што го користи.

На checkout страниците во Magento и Adobe Commerce, се извлекува замаглен (обфускатиран) скример од метаподатоците на Stripe customer акаунт (во овој случај „cus_TfFjAAZQNOYENR“) и се зачувуваат финансиските информации, адресите за наплата, е-пошта и телефонски броеви внесени од жртвите во localStorage. Потоа украдените податоци се испраќаат назад до Stripe акаунтот на напаѓачот.

„Секоја украдена картичка станува ‘customer’ во акаунтот на напаѓачот“, наведува компанијата за е-комерц безбедност. „Кога ќе успее, loader-от го брише localStorage записот за истиот податок да не се испрати двапати. Напаѓачот подоцна ги листа украдените картички со истото API и ист клуч. Базата на клиенти на Stripe станува бесплатен, траен канал за ексфилтрација.“

Се смета дека Stripe customer записот со скример е креиран на 24 декември 2025, што укажува дека операцијата можеби е активна од тој период. Sansec идентификуваше и втора варијанта на loader што користи Google Firestore наместо Stripe, но целта е иста: злоупотреба на доверлив сервис како скриен комуникациски канал што тешко се блокира во е-комерц системи.

Наодите се поклопуваат со голема операција наречена GorgonAgora, која користела 5.714 лажни .shop продавници што имитираат брендови како Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney и Toyota. Нивните checkout страници ги испраќаат украдените податоци од картички до еден централен сервер во Молдавија. Кампањата трае од август 2025.

„Секоја продавница ја користи истата Medusa.js платформа и истиот прилагоден checkout SDK, кој прикажува лажен Stripe iframe и испраќа податоци преку енкриптиран WebSocket до единствен сервер во Молдавија“, наведува холандската компанија.

„Ексфилтрацијата оди преку WebSocket со AES-256-GCM енкриптиран payload, а C2 одржува и жив 3D Secure relay: кога банката ќе врати 3DS проверка, операторот ја проксира назад до купувачот преку лажниот iframe, така што трансакцијата се завршува и кражбата останува невидлива.“

Извори:

• The Hacker News – Hackers Exploit Critical Everest Forms Pro WordPress Plugin Flaw to Take Over Sites The Hacker News