CVE-2026-3300 : RCE sans auth sur 4 000 sites WordPress via Everest Forms Pro

Les faits

CVE-2026-3300 est une vulnérabilité d'injection de code PHP dans le plugin commercial WordPress Everest Forms Pro, permettant à tout visiteur non authentifié d'exécuter du code arbitraire sur le serveur hébergeant un site WordPress disposant de ce plugin. Avec un score CVSS de 9.8, cette faille représente l'une des vulnérabilités WordPress les plus critiques de 2026. La mise à jour corrective (version 1.9.13) a été publiée le 18 mars 2026, mais l'exploitation active des sites non mis à jour n'a débuté que le 13 avril 2026 — illustrant le délai souvent observé entre disponibilité d'un patch et son adoption en production.

Le problème se situe dans le Calculation Addon du plugin. La fonction process_filter() de ce module traite les expressions mathématiques soumises via les champs de formulaire. Pour évaluer ces expressions, le code concatène les valeurs des champs soumis directement dans une chaîne de code PHP, puis la passe à la fonction eval() sans aucune sanitisation ni validation préalable.

Un attaquant peut ainsi soumettre n'importe quel code PHP dans un champ de formulaire configuré avec la fonctionnalité Calcul Complexe. Ce code sera exécuté avec les privilèges du serveur web (www-data, apache, ou nginx selon la configuration), permettant la lecture et l'écriture de fichiers, l'exécution de commandes système, l'établissement d'une backdoor persistante, ou le mouvement latéral vers d'autres systèmes accessibles depuis le serveur.

La vulnérabilité n'est présente que sur les formulaires où la fonctionnalité Calcul Complexe a été explicitement activée. Cette restriction ne diminue pas significativement le risque : les attaquants scrutent automatiquement les formulaires WordPress à la recherche de ce pattern d'exploitation, et un seul formulaire vulnérable par site suffit à compromettre l'ensemble de l'installation.

Depuis le 13 avril 2026, Vulert et Wordfence ont documenté plus de 29 300 tentatives d'exploitation bloquées à travers de nombreux pays. Les attaquants cherchent principalement à créer des comptes administrateurs WordPress fantômes, à installer des webshells PHP pour maintenir un accès persistant, et dans certains cas à déployer des outils de cryptominage ou à intégrer les serveurs compromis dans des botnets.

Everest Forms Pro est un plugin commercial utilisé par des milliers d'organisations pour la création de formulaires de contact, d'inscription, de paiement et d'enquête. Sa popularité dans le secteur associatif, les PME et les administrations locales en fait une cible attractive : ces environnements disposent souvent de ressources limitées en gestion des mises à jour et hébergent des données sensibles.

Les données compilées par les plateformes de monitoring WordPress suggèrent qu'une proportion significative des 4 000+ installations actives n'avait toujours pas appliqué le patch au 14 juin 2026, soit presque trois mois après sa disponibilité. Ce délai s'explique par les hébergeurs mutualisés ne permettant pas les mises à jour automatiques des plugins premium, les environnements gelés pour raisons de compatibilité, et l'absence de processus de gestion des vulnérabilités dans de nombreuses PME.

The Hacker News a rapporté en juin 2026 que certains attaquants, après avoir établi un accès via CVE-2026-3300, tentaient de pivoter vers les bases de données MySQL pour exfiltrer des données clients. Sur les serveurs dédiés où WordPress cohabite avec d'autres applications, l'impact peut s'étendre considérablement.

Impact et exposition

Sont exposés tous les sites WordPress utilisant Everest Forms Pro en version 1.9.12 ou antérieure, sur lesquels au moins un formulaire a la fonctionnalité Calcul Complexe activée. L'exploitation ne requiert aucune authentification, aucun compte, aucune interaction d'un utilisateur légitime au-delà de la présence d'un formulaire vulnérable accessible publiquement. Les 29 300+ tentatives bloquées montrent que les scanners automatiques ciblent activement ce vecteur à l'échelle mondiale. L'impact en cas d'exploitation va de la prise de contrôle totale du site à la compromission complète du serveur sous-jacent, avec risque d'exfiltration de toutes les données RGPD stockées.

Recommandations

• Immédiat : Mettre à jour Everest Forms Pro vers la version 1.9.13+ depuis le panneau d'administration WordPress ou via WP-CLI : wp plugin update everest-forms-pro
• Si la mise à jour n'est pas immédiatement possible : désactiver la fonctionnalité Calcul Complexe dans tous les formulaires, ou désactiver temporairement le plugin
• Auditer les logs d'accès Apache/Nginx pour rechercher des requêtes POST anormales depuis le 13 avril 2026
• Vérifier la présence de fichiers PHP non légitimes et de comptes administrateurs WordPress non reconnus
• Mettre en place un scanner d'intégrité de fichiers (Wordfence, WP Cerber) pour détecter toute modification future