Skip to content
Comment la CVE-2026-3300 permet des attaques avancées sur WordPress
Cybersécurité

Comment la CVE-2026-3300 permet des attaques avancées sur WordPress

Une vulnérabilité critique récemment découverte dans le plugin WordPress Everest Forms Pro montre à quel point une simple faille applicative peut devenir la première étape d’une attaque beaucoup plus vaste.

Identifiée sous le nom de CVE-2026-3300 et notée 9.8/10 sur l’échelle CVSS, cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code PHP arbitraire sur un serveur WordPress.

Mais le plus intéressant n’est pas seulement la faille elle-même.

Cette affaire nous permet de comprendre comment les cybercriminels transforment un site compromis en plateforme de vol de données bancaires en utilisant des services de confiance comme Google Tag Manager et Stripe.

Comprendre simplement la vulnérabilité CVE-2026-3300

Le plugin Everest Forms Pro propose une fonctionnalité permettant d’effectuer des calculs avancés à partir des données saisies dans un formulaire.

Pour réaliser ces calculs, le plugin générait dynamiquement du code PHP avant de l’exécuter à l’aide de la fonction eval().

Le problème est que certaines données fournies par les utilisateurs étaient directement intégrées dans ce code sans protection suffisante.

En pratique, un attaquant pouvait soumettre une valeur spécialement conçue dans un champ du formulaire afin d’injecter son propre code PHP.

Le serveur exécutait alors les instructions du pirate avec les privilèges de l’application.

Cette vulnérabilité permettait notamment de :

  • créer un compte administrateur WordPress ;
  • installer un webshell ;
  • déposer une porte dérobée (backdoor) ;
  • modifier le site ;
  • prendre le contrôle complet du serveur.

 

👉 Pour une analyse technique plus détaillée de la vulnérabilité et de sa chaîne d’exploitation, consulte cet article : https://tekiera.com/cybersecurite/cve-2026-3300-faille-critique-dans-everest-forms-pro-rce-wordpress-exploitee/

 

À première vue, cette histoire ressemble à une vulnérabilité WordPress classique. Pourtant, elle met en lumière une tendance beaucoup plus importante dans le monde de la cybersécurité.

Une fois qu’un attaquant obtient l’accès à un site web, son objectif n’est généralement pas seulement de modifier le contenu du site. Il cherche souvent à transformer ce site en plateforme d’attaque.

Parmi les scénarios les plus fréquents figure l’installation d’un skimmer de paiement.

Qu’est-ce qu’un skimmer ?

Un skimmer est un script malveillant injecté dans un site e-commerce afin de voler les informations saisies par les clients lors du paiement.

Le script peut collecter :

  • le numéro de carte bancaire ;
  • le nom du titulaire ;
  • la date d’expiration ;
  • l’adresse de facturation ;
  • l’adresse e-mail ;
  • le numéro de téléphone.

Du point de vue de la victime, tout semble normal.

  • Le site fonctionne.
  • La commande est validée.
  • Le paiement paraît légitime.

En réalité, une copie des informations est discrètement envoyée aux attaquants.

Pourquoi ces attaques deviennent-elles plus difficiles à détecter ?

Historiquement, les cybercriminels envoyaient les données volées vers leurs propres serveurs. Les solutions de sécurité pouvaient alors repérer des communications vers des domaines inconnus ou malveillants.

Aujourd’hui, les attaquants adoptent une stratégie différente.  Au lieu d’utiliser leurs propres infrastructures, ils exploitent des services légitimes déjà autorisés par les entreprises. C’est précisément ce qui a été observé dans plusieurs campagnes récentes.

Quand Google Tag Manager devient un vecteur d’attaque

Google Tag Manager est utilisé par des millions d’entreprises pour intégrer rapidement :

  • Google Analytics ;
  • des pixels publicitaires ;
  • des outils marketing ;
  • des scripts de suivi.

Comme ce service est largement utilisé et considéré comme fiable, il est généralement autorisé par les navigateurs et les politiques de sécurité. Les attaquants profitent de cette confiance pour distribuer du code malveillant via Google Tag Manager. Aux yeux des systèmes de sécurité, le trafic semble provenir de Google. Pourtant, le navigateur exécute bel et bien un script malveillant.

Quand Stripe devient une infrastructure d’attaque

L’aspect le plus innovant de cette campagne concerne l’utilisation de Stripe. Traditionnellement, un malware communique avec un serveur de commande et contrôle (C2) appartenant aux attaquants pour recevoir et stocker les donneés volées.

Dans cette campagne, les cybercriminels ont remplacé leur propre infrastructure par Stripe. Les données volées étaient stockées directement dans des objets associés à un compte Stripe contrôlé par les attaquants. Autrement dit, Stripe était utilisé comme :

  • espace de stockage ;
  • base de données ;
  • canal de communication.

Cette approche présente un avantage considérable pour les attaquants : les communications se font vers un domaine légitime auquel les entreprises font déjà confiance.

Mais il y a le 3D Secure et les OTP, non ?

Beaucoup pensent que l’authentification forte via SMS, application bancaire ou code OTP empêche totalement ce type de fraude.

Mais La réalité est plus complexe, les chercheurs ont observé des campagnes capables de gérer les étapes de validation 3D Secure en temps réel. L’objectif n’est pas de casser ou de contourner techniquement le système OTP. Au contraire, les attaquants cherchent à faire effectuer la validation par la victime elle-même.

Le principe est le suivant :

  1. La victime saisit ses informations bancaires sur une fausse page de paiement.
  2. Les données sont immédiatement transmises aux attaquants.
  3. Les attaquants initient une transaction réelle.
  4. La banque envoie alors une demande de validation 3D Secure.
  5. Cette demande est relayée vers la victime via la fausse interface de paiement.
  6. Pensant confirmer son propre achat, la victime valide la transaction.

Du point de vue de la banque :

  • le bon téléphone a été utilisé ;
  • la bonne application bancaire a confirmé ;
  • le bon code OTP a été saisi.

Toutes les vérifications sont donc satisfaites.

Le système OTP n’est pas cassé.

Il est utilisé conformément à son fonctionnement, mais dans le cadre d’une transaction que la victime ne comprend pas complètement.

C’est ce qu’on appelle une attaque par relais ou une forme d’ingénierie sociale appliquée au processus d’authentification.

Conclusion

La vulnérabilité CVE-2026-3300 rappelle l’importance des mises à jour de sécurité et des audits de code réguliers.

Cependant, elle révèle également une tendance beaucoup plus importante : les cybercriminels exploitent désormais la confiance accordée aux plateformes les plus populaires pour masquer leurs activités.

Google Tag Manager, Stripe, les services cloud et les plateformes SaaS deviennent progressivement des composants involontaires de certaines infrastructures d’attaque.

Pour les professionnels de la cybersécurité, le défi ne consiste plus uniquement à bloquer les mauvais domaines, mais à comprendre comment des services parfaitement légitimes peuvent être détournés à des fins malveillantes.

📚 Source : https://thehackernews.com/2026/06/hackers-exploit-critical-everest-forms.html