Everest Forms Pro

Uma falha de segurança crítica foi identificada no plugin Everest Forms Pro, utilizado em sites WordPress, afetando cerca de 4.000 instalações ativas. A vulnerabilidade, classificada como CVE-2026-3300, possui uma pontuação CVSS de 9.8 e permite a execução remota de código, resultando na possibilidade de comprometimento total do site. O problema reside na função process_filter() do addon de Cálculo, que concatena valores de campos de formulário submetidos pelo usuário em uma string de código PHP sem a devida sanitização, permitindo que atacantes não autenticados injetem e executem código PHP arbitrário. Desde o início das tentativas de exploração em 13 de abril de 2026, mais de 29.300 tentativas de ataque foram bloqueadas, com um padrão comum de criação de contas de administrador maliciosas. Além disso, a Sansec alertou sobre campanhas de skimmer que utilizam Stripe como servidor de comando e controle, aproveitando-se da reputação da marca para evitar detecções. Essas campanhas têm como alvo páginas de checkout de plataformas como Magento e Adobe Commerce, extraindo dados financeiros de usuários desavisados. A combinação dessas vulnerabilidades e ataques representa um risco significativo para a segurança de sites e dados de clientes.