Skip to content
CVE-2026-3300 : Faille critique dans Everest Forms Pro (RCE WordPress exploitée)
Cybersécurité

CVE-2026-3300 : Faille critique dans Everest Forms Pro (RCE WordPress exploitée)

Une vulnérabilité critique a récemment été découverte dans le plugin WordPress Everest Forms Pro, un outil utilisé par environ 4 000 sites actifs pour créer et gérer des formulaires avancés. Identifiée sous le nom CVE-2026-3300, cette faille de sécurité illustre parfaitement comment une erreur de conception dans la gestion des données utilisateur peut mener à une compromission totale d’un site web.

Notée 9.8 sur 10 sur l’échelle CVSS, cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code PHP arbitraire à distance, ouvrant ainsi la porte à une prise de contrôle complète du serveur.

Une vulnérabilité critique dans le moteur de calcul du plugin

Le problème se situe dans la fonctionnalité dite de “Complex Calculation”, utilisée par Everest Forms Pro pour effectuer des calculs dynamiques à partir des données soumises dans un formulaire.

Pour exécuter ces calculs, le plugin utilise la fonction PHP : eval()

Cette fonction est très dangereuse car elle exécute du code PHP sous forme de texte.

Le problème est que les données envoyées par l’utilisateur sont directement insérées dans le code PHP avant d’être passées à eval().

En simplifiant :

$code = "$FIELD_1 = '$user_input'";
eval($code);

Si un utilisateur malveillant envoie :

'; malicious_code(); //

Le code devient :

$FIELD_1 = '';
malicious_code();
//';

et PHP exécute alors le code de l’attaquant.

Le plugin utilise :sanitize_text_field() ,mais cette fonction nettoie certains caractères mais n’échappe pas les apostrophes (') utilisées dans le code PHP. Les chercheurs ont découvert qu’un attaquant pouvait sortir de la chaîne de caractères puis injecter son propre code PHP. C’est ce qu’on appelle : PHP Code Injection qui mène ensuite à une : Remote Code Execution (RCE).

Exemple d’attaque observé


POST /wp-admin/admin-ajax.php HTTP/1.1
Host: [redacted]
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded
 
everest_forms[id]=2909&everest_forms[form_fields][svbtwqPN9R-2]=';if(!username_exists('diksimarina')){wp_insert_user(array('user_login'=>'diksimarina','user_pass'=>'[redacted]','user_email'=>'diksimarina@gmail.com','role'=>'administrator'));echo 'ADMINCREATED';}else{echo 'ADMINEXISTS';} //&everest_forms[form_fields][eluWudCcdM-1]=test&everest_forms[form_fields][email]=test&everest_forms[form_fields][rVuWSql19Q-3]=test&everest_forms[form_fields][rwkAbDLqrq-7]=test&everest_forms[form_fields][LKLn7arQDU-5]=test&action=everest_forms_ajax_form_submission&security=cd840335ff

Cet exemple de requête d’attaque illustre une exploitation réelle de la vulnérabilité CVE-2026-3300 dans le plugin Everest Forms Pro, où un attaquant détourne le traitement d’un formulaire WordPress pour exécuter du code PHP arbitraire. L’attaque débute par une requête POST envoyée vers le point d’entrée légitime /wp-admin/admin-ajax.php, utilisé par WordPress pour gérer les soumissions AJAX des formulaires. Cela permet à l’attaquant de masquer son activité dans un flux de trafic normal et difficile à distinguer d’une requête légitime générée par un utilisateur.

Le cœur de l’attaque se situe dans un champ de formulaire spécifique (everest_forms[form_fields][svbtwqPN9R-2]) dans lequel l’attaquant injecte une charge utile malveillante. Cette valeur commence par un simple guillemet suivi d’un point-virgule, ce qui permet de fermer la chaîne PHP dans laquelle la valeur sera insérée par le plugin. Une fois cette barrière syntaxique rompue, l’attaquant injecte directement du code PHP, incluant des appels à username_exists() et wp_insert_user(), afin de vérifier l’existence d’un utilisateur puis de créer un nouveau compte WordPress avec des privilèges administrateur. Dans cet exemple, le compte créé porte le nom “diksimarina” et est configuré avec le rôle administrateur, ce qui donne un accès complet au site compromis.

La fin du payload contient un marqueur de commentaire //, dont le rôle est crucial puisqu’il permet d’ignorer le reste du code généré automatiquement par le plugin, évitant ainsi les erreurs de syntaxe PHP et assurant l’exécution fluide de l’injection. Les autres champs du formulaire contiennent des valeurs normales afin de simuler une soumission légitime et de réduire la suspicion.

Une fois la requête traitée par le plugin et passée dans le moteur de calcul vulnérable, le code injecté est exécuté via eval(), ce qui transforme une simple soumission de formulaire en exécution de code sur le serveur.

Correctif et versions affectées

La vulnérabilité affecte toutes les versions d’Everest Forms Pro jusqu’à la version 1.9.12 incluse. Le correctif a été publié dans la version 1.9.13, qui empêche l’injection de code et corrige la manière dont les données utilisateur sont traitées avant évaluation.

Les utilisateurs sont donc fortement invités à mettre à jour immédiatement leurs installations afin d’éviter toute exploitation active.

Conclusion : une vulnérabilité RCE critique à fort impact

La CVE-2026-3300 démontre une fois de plus que les vulnérabilités de type Remote Code Execution restent parmi les plus dangereuses dans l’écosystème WordPress. En combinant une mauvaise gestion des entrées utilisateur et l’utilisation de fonctions dangereuses comme eval(), une simple fonctionnalité de calcul devient une porte d’entrée vers une compromission totale.

Avec une exploitation déjà active et des milliers de tentatives bloquées, cette faille doit être considérée comme une priorité critique pour tous les administrateurs de sites utilisant Everest Forms Pro.

Source : https://www.wordfence.com/blog/2026/06/attackers-actively-exploiting-critical-vulnerability-in-everest-forms-pro-plugin/