Le plugin WordPress Everest Forms Pro est activement exploité via CVE-2026-3300, une RCE sans authentification notée CVSS 9.8. Plus de 29 300 tentatives documentées par Wordfence depuis avril 2026 — appliquez immédiatement la version 1.9.13.
En bref
- CVE-2026-3300 : exécution de code PHP arbitraire sans authentification dans le plugin WordPress Everest Forms Pro, CVSS 9.8
- Toutes les versions jusqu'à 1.9.12 incluse sont vulnérables — la fonctionnalité Complex Calculation est le vecteur d'attaque
- Mise à jour immédiate vers la version 1.9.13 ou supérieure ; plus de 29 300 tentatives d'exploitation déjà documentées par Wordfence
Les faits
Le 7 juin 2026, les équipes de sécurité de Wordfence et de SentinelOne ont publié leurs analyses complètes de CVE-2026-3300, une vulnérabilité d'exécution de code à distance (RCE) affectant le plugin WordPress payant Everest Forms Pro, édité par WPEverest. Cette faille critique, notée CVSS 9.8, permet à un attaquant non authentifié d'exécuter du code PHP arbitraire sur n'importe quel site WordPress hébergeant le plugin et ayant activé la fonctionnalité « Complex Calculation ». The Hacker News, BleepingComputer et plusieurs analystes indépendants ont relayé l'alerte dans les heures suivant la publication.
La racine technique du problème réside dans la fonction process_filter() du module Calculation Addon. Cette fonction concatène les valeurs soumises par l'utilisateur dans les champs du formulaire dans une chaîne de code PHP avant de la passer à la fonction eval(). La mesure de sécurité en place — la fonction WordPress native sanitize_text_field() — ne suffit pas : elle ne neutralise ni les guillemets simples ni les autres caractères spéciaux du contexte PHP. La porte est grande ouverte à l'injection de code arbitraire côté serveur.
En pratique, un attaquant peut soumettre une charge malveillante dans n'importe quel champ de type texte, email, URL, liste déroulante ou bouton radio d'un formulaire qui utilise le module Complex Calculation. La charge est traitée par process_filter() et exécutée via eval() avec les privilèges du processus serveur web — typiquement www-data sous Linux — ce qui permet de créer un webshell persistant, de voler les credentials de la base de données, ou d'installer un backdoor à distance sans aucune interaction supplémentaire.
Le correctif a été publié le 18 mars 2026 sous la forme de la version 1.9.13. Pourtant, selon les données télémétriques de Wordfence, les premières tentatives d'exploitation ont démarré le 13 avril 2026 — soit 26 jours après la disponibilité du patch. Cette fenêtre illustre un pattern récurrent : les acteurs malveillants analysent les diffs de mise à jour des plugins populaires pour en extraire les détails techniques et construire des exploits opérationnels rapidement. Depuis le 13 avril 2026, Wordfence a bloqué plus de 29 300 tentatives sur les sites protégés par son pare-feu applicatif.
Le pic d'activité a été enregistré le 16 mai 2026, avec 17 900 tentatives en une seule journée — un chiffre qui indique une campagne coordonnée, probablement automatisée, ciblant en masse tous les sites WordPress exposant un formulaire Everest Forms Pro vulnérable. La charge utile la plus fréquemment observée vise à créer un compte administrateur WordPress avec le nom d'utilisateur diksimarina. Ce modus operandi permet aux attaquants de maintenir un accès persistant au tableau de bord WordPress, indépendamment du formulaire vulnérable initial.
Une fois l'accès administrateur obtenu, les perspectives d'abus sont larges : installation de plugins malveillants, injection de code dans les thèmes, vol de données clients et de credentials, utilisation du serveur comme relais pour des campagnes de spam ou de phishing, déploiement de mineurs de cryptomonnaie. Dans les environnements d'hébergement mutualisé, la compromission peut même déborder sur d'autres sites hébergés sur le même compte si la séparation des processus est insuffisante.
D'après les classifications de SentinelOne et de Vulert, la vulnérabilité relève du CWE-94 (Improper Control of Generation of Code, aussi appelé Code Injection) et du CWE-95 (Eval Injection). L'absence totale de prérequis d'authentification constitue le facteur aggravant principal : n'importe quel visiteur anonyme peut déclencher la chaîne d'exploitation si un formulaire vulnérable est exposé publiquement — ce qui est précisément la fonction première d'un formulaire de contact ou de devis. La classification CVSS 9.8 reflète cette combinaison d'exploitabilité maximale et d'impact critique.
Selon les données du dépôt WordPress.org, la version gratuite d'Everest Forms affiche plus de 100 000 installations actives. Le nombre exact d'installations de la version Pro payante n'est pas public, mais WPEverest revendique une clientèle substantielle dans les secteurs de l'e-commerce, des agences web et des services professionnels. La portée potentielle de CVE-2026-3300 est donc considérable. Les équipes de sécurité de Rescana ont noté que l'exposition géographique est mondiale, avec des sites en Europe, en Amérique du Nord et en Asie-Pacifique parmi les cibles identifiées.
Impact et exposition
Sont exposés tous les sites WordPress qui utilisent Everest Forms Pro en version 1.9.12 ou antérieure et qui ont activé la fonctionnalité Complex Calculation dans au moins un formulaire accessible publiquement. Sans l'activation de ce module spécifique, la vulnérabilité n'est pas exploitable — mais la fonctionnalité Complex Calculation est un argument de vente central du plugin, notamment pour les calculateurs de devis, de frais de livraison ou de tarification dynamique. La proportion d'installations vulnérables parmi les utilisateurs Pro est donc potentiellement élevée. Les conséquences directes d'une exploitation réussie incluent : prise de contrôle complète du back-office WordPress, vol de données clients, déploiement de webshells et utilisation du serveur comme infrastructure offensive secondaire.
Recommandations
- Immédiat : mettre à jour Everest Forms Pro vers la version 1.9.13 ou supérieure via le tableau de bord WordPress
- Si la mise à jour immédiate est impossible, désactiver le module Complex Calculation dans les paramètres du plugin pour supprimer le vecteur d'attaque
- Vérifier dans les logs Apache/Nginx la présence de requêtes POST vers vos formulaires contenant des patterns PHP (
eval,base64_decode,system) depuis le 13 avril 2026 - Rechercher l'existence d'un compte WordPress nommé
diksimarinadans la liste des utilisateurs — sa présence confirme une compromission - Scanner le répertoire
wp-content/uploadset les répertoires du plugin pour détecter des fichiers PHP non légitimes
Alerte critique
CVE-2026-3300 est activement exploitée avec plus de 29 300 tentatives documentées et un pic de 17 900 attaques en une seule journée. Si vous exploitez Everest Forms Pro en version 1.9.12 ou antérieure avec la fonctionnalité Complex Calculation activée, votre site est une cible active. Appliquez le patch maintenant.
Comment savoir si mon site WordPress a été compromis via CVE-2026-3300 ?
Trois indicateurs principaux : (1) présence d'un compte administrateur nommé diksimarina dans la liste des utilisateurs WordPress ; (2) requêtes POST suspectes dans vos logs serveur vers les URLs de vos formulaires, contenant des payloads PHP encodés en base64 ou des chaînes comme eval( ; (3) fichiers PHP inconnus dans les répertoires wp-content/uploads ou dans le dossier du plugin. En cas de doute, restaurez depuis une sauvegarde saine antérieure au 13 avril 2026 et appliquez le patch avant de remettre le site en ligne.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditUn projet cybersécurité ?
Expert dispo · Réponse 24h