- Fallo crítico de RCE en Everest Forms Pro (CVE-2026-3300) explotado activamente
- Los atacantes crearon la cuenta de administrador fraudulenta “Diximarin” mediante inyección de PHP
- Bloqueó casi 30.000 intentos de adquisición; Se solicita a los administradores que parcheen y bloqueen las IP clave
Los investigadores de seguridad advierten sobre una campaña de piratería en curso dirigida a ciertos sitios web de WordPress utilizando una popular herramienta de complemento.
Wordfence afirma que Everest Forms Pro, un popular complemento de WordPress supuestamente utilizado para crear contratos, registros, pagos y otros formularios de solicitud, presenta una vulnerabilidad de gravedad crítica que permite a actores maliciosos apoderarse completamente de los sitios.
El error se describió como un error de ejecución remota de código (RCE) mediante inyección de código PHP. Tiene un seguimiento como CVE-2026-3300 y se le asigna una clasificación de gravedad de 9,8/10 (crítico). Esto afecta a todas las versiones del complemento hasta la 1.9.12.
Parchado hace meses
Wordfence ahora advierte que esta falla se está explotando activamente para crear cuentas de administrador maliciosas en sitios web vulnerables:
“El atacante envía un valor a un campo de texto que comienza con una comilla simple para cerrar la cadena literal, seguida de una declaración PHP que llama a wp_insert_user() para crear una nueva cuenta de administrador con el nombre de usuario ‘diksimarina'”, advirtió Wordfence en su informe.
“El marcador de comentario final // garantiza que el resto del código PHP generado, incluida la cita de cierre, se trate como un comentario y no provoque un error de sintaxis”. “Cuando se procesa el formulario y se evalúa el cálculo, se ejecuta el código PHP inyectado y se crea la cuenta de administrador maliciosa”.
Al crear una cuenta de administrador, los actores maliciosos pueden hacer casi cualquier cosa con el sitio web, incluida extraer archivos almacenados en caché, redirigir a los visitantes o incluso distribuir malware.
El error se reveló por primera vez en febrero de este año y, a mediados de marzo, los desarrolladores de Everest Forms lanzaron una solución. Wordfence dice que el intento de explotación comenzó aproximadamente un mes después, a mediados de abril. Hasta ahora, ha fallado unos 30.000 intentos, la mayoría de los cuales procedían de dos direcciones IP.
Los administradores preocupados por ser objetivos potenciales deben bloquear las dos direcciones IP 202.56.2(.)126 y 209.146.60.26 y revisar los archivos de registro para detectar la cadena “Diximarine”.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
