夜雨聆风一个被大量 WordPress 网站使用的付费表单插件 Everest Forms Pro 爆出严重安全漏洞,漏洞编号为 CVE-2026-3300,危险等级达到 CVSS 9.8(Critical)。
更严重的是:
攻击者已经开始大规模利用。
安全研究人员确认,这一漏洞允许攻击者无需登录、无需账号,仅通过提交一个特殊构造的表单,就可能直接获取整个网站控制权。
漏洞概要
漏洞名称:
CVE-2026-3300
漏洞类型:
远程代码执行(Remote Code Execution / RCE)
影响版本:
Everest Forms Pro ≤ 1.9.12 免费版不受影响 修复版本:1.9.13 及以上版本
漏洞评分:
CVSS 9.8 / 10(Critical)
时间线:漏洞其实早已修复,但危险现在才真正开始
2月27日:
安全防护规则首先向高级防护用户推送。
3月18日:
厂商发布修复版本 1.9.13。
3月30日:
研究人员公开披露漏洞。
4月13日:
开始出现真实攻击活动。
最近两天:
技术细节与攻击方式公开后,大量攻击迅速增加。
漏洞到底怎么产生的?
问题来自插件中的:
Complex Calculation(复杂计算)功能
插件内部有一个用于计算复杂公式的处理逻辑。
研究人员发现:
插件会将用户提交的数据拼接进 PHP 代码字符串中。
随后直接执行。
核心问题在于:
用户输入 → 拼接进 PHP → eval 执行
虽然开发者试图使用过滤函数处理输入,但过滤逻辑无法阻止攻击者构造特殊字符逃逸代码执行环境。最终导致攻击者能够插入任意 PHP 代码。
哪些字段可以被利用?
只要网站启用了复杂计算功能。
攻击者就可能通过这些字段触发漏洞:
文本输入框 Email 输入框 URL 输入框 Select 下拉框 Radio 单选框
换句话说:
攻击者甚至不需要后台权限。
只要能访问表单即可。
攻击成功后会发生什么?
攻击者能够执行任意 PHP 代码。
意味着他们可以:
创建管理员账户
新增隐藏管理员账号长期控制网站。
上传 WebShell / 后门
实现长期驻留。
窃取数据库
包括:
用户数据 订单数据 邮箱信息 API 密钥
接管服务器
进一步攻击:
同服务器网站 内网资源 云环境
研究人员明确指出:
最终结果就是 Complete Site Compromise(完全沦陷)。
攻击规模已经多严重?
目前公开数据显示:
攻击者从 4 月开始利用 已拦截超过 29,300 次攻击尝试 攻击活动正在持续增长
安全研究人员认为:
随着漏洞利用脚本公开。
现在已经进入:
自动化扫描 + 批量攻击阶段。
为什么很多网站还没修?
原因其实很简单:
原因 1:这是付费插件
很多管理员不会频繁更新。
原因 2:漏洞藏在特殊功能中
许多人认为:
“我只是做个简单表单”
却忘记自己曾启用复杂计算。
原因 3:修复早,但技术细节最近才公开
攻击者往往等待:
PoC 出现 → 自动化利用 → 批量扫描
因此现在才是真正危险阶段。
如何检查自己是否已经中招?
建议立即检查:
1. 查看插件版本
如果:
≤ 1.9.12
立即升级。
2. 查看管理员账户
检查是否出现:
不认识的新管理员 奇怪用户名 最近创建账号
3. 检查异常 PHP 文件
重点查看:
wp-content/uploads/ themes/ plugins/
是否出现:
随机命名 php 文件 新增可疑目录
4. 查看日志
关注:
异常 POST 请求 大量表单提交 admin-ajax 请求暴增
立即处置建议
建议按照优先级处理:
第一优先级
升级到:
Everest Forms Pro 1.9.13+
第二优先级
禁用复杂计算功能(如果不需要)
第三优先级
检查:
管理员账户 上传目录 WebShell 数据库异常
第四优先级
部署:
WAF 安全插件 登录保护
总结
这是一个典型案例:
一个原本用于收集用户数据的表单插件 因为错误执行用户输入 最终变成攻击者执行代码的入口
现在的问题已经不是:
"漏洞会不会被利用"
而是:
"攻击者什么时候扫描到你的网站"
如果你仍在运行旧版 Everest Forms Pro。
现在最重要的事情只有一件:
立即升级。
