Les pirates exploitent une faille critique du plugin WordPress Everest Forms Pro pour prendre le contrôle de sites

The Hacker News - TheHackerNews - 05/06
Les acteurs malveillants exploitent activement CVE-2026-3300, une vulnérabilité RCE critique (CVSS 9.8) dans le plugin WordPress Everest Forms Pro (plus de 4 000 installations).

Les acteurs malveillants exploitent activement une faille de sécurité critique dans Everest Forms Pro, un plugin WordPress avec environ 4 000 installations actives, pour exécuter du code arbitraire, conduisant à une compromission complète du site.

La vulnérabilité en question est CVE-2026-3300 (score CVSS : 9,8), un bug d'exécution de code à distance impactant toutes les versions du plugin jusqu'à la 1.9.12 incluse. Un correctif pour la faille a été publié le 18 mars 2026, avec la version 1.9.13.

"Cela est dû au fait que la fonction process_filter() du module complémentaire de calcul concatène les valeurs des champs de formulaire soumises par l'utilisateur dans une chaîne de code PHP sans échappement approprié avant de la transmettre à eval()", a déclaré Wordfence.

"La fonction sanitize_text_field() appliquée à l'entrée...
[Courte citation de 8% de l'article original]

Loading...