WordPress生态又迎来一场安全风暴。一款用户量不小的表单插件——Everest Forms Pro被曝存在一个足以让攻击者直接接管网站的致命缺陷。这个编号为CVE-2026-3300的远程代码执行漏洞CVSS评分高达9.8属于不折不扣的Critical级别。更麻烦的是漏洞利用门槛极低不需要任何账号权限攻击者只需要向目标网站提交一个看似普通的表单就能在服务器上执行任意PHP代码。安全厂商Wordfence的监测数据显示这场攻击并非小规模试探而是已经形成了有组织的利用浪潮。从2026年4月中旬开始大量未打补丁的站点遭到扫描和入侵单日拦截量一度突破1.7万次。截至目前累计被拦截的恶意请求已经超过2.9万次且这个数字仍在持续增长。漏洞核心一个计算功能埋下的雷问题的根源藏在插件的复杂计算功能里。Everest Forms Pro为了支持表单字段之间的动态计算在后台实现了一个process_filter()函数。这个函数的本意是处理用户输入的数值并返回计算结果但它的实现方式却犯了一个致命错误——它把用户输入的字符串直接拼接进PHP代码然后调用了eval()来执行。稍有开发经验的人都知道eval()是个极其危险的函数。它会把字符串当作代码直接运行一旦拼接进去的字符串被攻击者控制就等于把服务器的大门钥匙交了出去。开发者虽然用sanitize_text_field()对输入做了一层过滤但这个函数的设计初衷是清理文本中的非法标签和多余空格它并不会转义单引号这类关键字符。攻击者只需要在表单输入框里填入一个单引号就能跳出原本的字符串上下文紧接着注入自己构造的PHP代码最后再用注释符号把后面的代码屏蔽掉整个恶意逻辑就会被服务器乖乖执行。这意味着任何一个对外公开的表单页面无论是文本框、邮箱输入、下拉菜单还是单选按钮都变成了攻击入口。由于表单提交本身就是无需登录的公开接口整个利用过程完全匿名化站长几乎无法在事前察觉到异常。攻击者在做什么不只是挂马而是直接夺权从已捕获的攻击流量来看黑客的目标非常明确快速获取网站最高权限。最常见的攻击模式是在表单中注入一段PHP脚本调用WordPress原生的wp_insert_user()函数在数据库里悄悄创建一个管理员账号。例如有多个攻击实例试图注册名为diksimarina的管理员用户。一旦这个账号创建成功攻击者就能通过正常的后台登录入口进入网站后续的操作空间几乎是无限的——上传WebShell、篡改页面内容、植入后门、横向渗透到同一台服务器上的其他站点甚至把整台服务器变成僵尸网络的一部分。Wordfence发布的攻击时间线显示早在2026年2月27日付费用户就已经通过防火墙规则获得了虚拟补丁保护免费用户则从3月29日开始被纳入防护范围。但虚拟补丁只能拦截已知攻击特征它无法修复插件本身的底层缺陷。真正的安全仍然取决于站长是否把插件升级到了1.9.13版本。这些IP正在对你的网站敲门安全遥测数据已经锁定了一批高度活跃的恶意IP地址。如果你的服务器日志里出现了以下地址的访问记录尤其是针对/wp-admin/admin-ajax.php端点的POST请求那么很有可能你的网站已经被列入了攻击清单202.56.2[.]126数万次请求被拦截属于高频扫描源209.146.60[.]26数千次明确的漏洞利用尝试15.235.166[.]18数百次恶意请求持续活跃2402:1f00:8000[:]800::40db来自IPv6地址段的攻击活动说明攻击基础设施已经覆盖了新一代网络协议185.78.165[.]153已确认具有敌对性的扫描行为这些攻击请求通常伪装成正常的表单提交但Payload里暗藏了精心构造的PHP代码片段。由于攻击走的是admin-ajax.php这个WordPress的通用AJAX接口很多传统的访问控制策略并不会对其施加严格限制这进一步降低了攻击者的暴露风险。现在该做什么三件事不能拖如果你或你的客户正在使用Everest Forms Pro请务必立刻完成以下检查。这几步不需要复杂的技术背景但拖延的每一分钟都可能意味着网站已经沦陷。立刻更新插件。这是最根本也最有效的措施。官方已经在1.9.13版本中修复了该漏洞更新路径就是常规的WordPress后台插件更新流程。不要因为网站还在正常运行就心存侥幸很多被入侵的站点在初期并不会表现出明显异常。审计管理员账号。登录WordPress后台进入用户管理列表仔细检查是否存在来历不明的管理员账号尤其是那些用户名看起来像是随机生成或带有特定模式如diksimarina的账号。如果发现可疑账号立即删除并重置所有现有管理员密码同时启用双因素认证。翻查服务器日志。重点查看Web访问日志中是否有来自上述恶意IP的请求以及是否有大量指向admin-ajax.php的非正常POST请求。如果你使用了Wordfence、Sucuri或类似的安全插件也要检查它们的拦截记录和告警通知。日志里哪怕只有一条成功的可疑请求都值得你深入排查。写在最后补丁发布不等于危机结束CVE-2026-3300的补丁其实在2026年3月18日就已经发布公开披露则是在3月30日。但直到4月13日大规模攻击才真正爆发。这个时间差揭示了一个残酷的现实很多WordPress站点的维护状态远比想象中滞后。插件开发者修复了漏洞安全厂商发布了虚拟补丁但如果站长没有主动更新所有这些努力都无法触及最终的风险敞口。Everest Forms Pro的这次事件再次证明WordPress插件生态的长尾效应是安全领域最大的软肋。一个小众功能的实现失误一个为了做表单计算而引入的eval()就能演变成影响数千个网站的供应链攻击。对于依赖WordPress搭建业务的站长来说设置好就不管的时代早已过去持续的安全监控和及时的补丁管理才是避免成为下一个受害者的唯一办法。
Everest Forms Pro爆发高危RCE漏洞:黑客正大规模攻击WordPress网站,你的后台可能已经被渗透
WordPress生态又迎来一场安全风暴。一款用户量不小的表单插件——Everest Forms Pro被曝存在一个足以让攻击者直接接管网站的致命缺陷。这个编号为CVE-2026-3300的远程代码执行漏洞CVSS评分高达9.8属于不折不扣的Critical级别。更麻烦的是漏洞利用门槛极低不需要任何账号权限攻击者只需要向目标网站提交一个看似普通的表单就能在服务器上执行任意PHP代码。安全厂商Wordfence的监测数据显示这场攻击并非小规模试探而是已经形成了有组织的利用浪潮。从2026年4月中旬开始大量未打补丁的站点遭到扫描和入侵单日拦截量一度突破1.7万次。截至目前累计被拦截的恶意请求已经超过2.9万次且这个数字仍在持续增长。漏洞核心一个计算功能埋下的雷问题的根源藏在插件的复杂计算功能里。Everest Forms Pro为了支持表单字段之间的动态计算在后台实现了一个process_filter()函数。这个函数的本意是处理用户输入的数值并返回计算结果但它的实现方式却犯了一个致命错误——它把用户输入的字符串直接拼接进PHP代码然后调用了eval()来执行。稍有开发经验的人都知道eval()是个极其危险的函数。它会把字符串当作代码直接运行一旦拼接进去的字符串被攻击者控制就等于把服务器的大门钥匙交了出去。开发者虽然用sanitize_text_field()对输入做了一层过滤但这个函数的设计初衷是清理文本中的非法标签和多余空格它并不会转义单引号这类关键字符。攻击者只需要在表单输入框里填入一个单引号就能跳出原本的字符串上下文紧接着注入自己构造的PHP代码最后再用注释符号把后面的代码屏蔽掉整个恶意逻辑就会被服务器乖乖执行。这意味着任何一个对外公开的表单页面无论是文本框、邮箱输入、下拉菜单还是单选按钮都变成了攻击入口。由于表单提交本身就是无需登录的公开接口整个利用过程完全匿名化站长几乎无法在事前察觉到异常。攻击者在做什么不只是挂马而是直接夺权从已捕获的攻击流量来看黑客的目标非常明确快速获取网站最高权限。最常见的攻击模式是在表单中注入一段PHP脚本调用WordPress原生的wp_insert_user()函数在数据库里悄悄创建一个管理员账号。例如有多个攻击实例试图注册名为diksimarina的管理员用户。一旦这个账号创建成功攻击者就能通过正常的后台登录入口进入网站后续的操作空间几乎是无限的——上传WebShell、篡改页面内容、植入后门、横向渗透到同一台服务器上的其他站点甚至把整台服务器变成僵尸网络的一部分。Wordfence发布的攻击时间线显示早在2026年2月27日付费用户就已经通过防火墙规则获得了虚拟补丁保护免费用户则从3月29日开始被纳入防护范围。但虚拟补丁只能拦截已知攻击特征它无法修复插件本身的底层缺陷。真正的安全仍然取决于站长是否把插件升级到了1.9.13版本。这些IP正在对你的网站敲门安全遥测数据已经锁定了一批高度活跃的恶意IP地址。如果你的服务器日志里出现了以下地址的访问记录尤其是针对/wp-admin/admin-ajax.php端点的POST请求那么很有可能你的网站已经被列入了攻击清单202.56.2[.]126数万次请求被拦截属于高频扫描源209.146.60[.]26数千次明确的漏洞利用尝试15.235.166[.]18数百次恶意请求持续活跃2402:1f00:8000[:]800::40db来自IPv6地址段的攻击活动说明攻击基础设施已经覆盖了新一代网络协议185.78.165[.]153已确认具有敌对性的扫描行为这些攻击请求通常伪装成正常的表单提交但Payload里暗藏了精心构造的PHP代码片段。由于攻击走的是admin-ajax.php这个WordPress的通用AJAX接口很多传统的访问控制策略并不会对其施加严格限制这进一步降低了攻击者的暴露风险。现在该做什么三件事不能拖如果你或你的客户正在使用Everest Forms Pro请务必立刻完成以下检查。这几步不需要复杂的技术背景但拖延的每一分钟都可能意味着网站已经沦陷。立刻更新插件。这是最根本也最有效的措施。官方已经在1.9.13版本中修复了该漏洞更新路径就是常规的WordPress后台插件更新流程。不要因为网站还在正常运行就心存侥幸很多被入侵的站点在初期并不会表现出明显异常。审计管理员账号。登录WordPress后台进入用户管理列表仔细检查是否存在来历不明的管理员账号尤其是那些用户名看起来像是随机生成或带有特定模式如diksimarina的账号。如果发现可疑账号立即删除并重置所有现有管理员密码同时启用双因素认证。翻查服务器日志。重点查看Web访问日志中是否有来自上述恶意IP的请求以及是否有大量指向admin-ajax.php的非正常POST请求。如果你使用了Wordfence、Sucuri或类似的安全插件也要检查它们的拦截记录和告警通知。日志里哪怕只有一条成功的可疑请求都值得你深入排查。写在最后补丁发布不等于危机结束CVE-2026-3300的补丁其实在2026年3月18日就已经发布公开披露则是在3月30日。但直到4月13日大规模攻击才真正爆发。这个时间差揭示了一个残酷的现实很多WordPress站点的维护状态远比想象中滞后。插件开发者修复了漏洞安全厂商发布了虚拟补丁但如果站长没有主动更新所有这些努力都无法触及最终的风险敞口。Everest Forms Pro的这次事件再次证明WordPress插件生态的长尾效应是安全领域最大的软肋。一个小众功能的实现失误一个为了做表单计算而引入的eval()就能演变成影响数千个网站的供应链攻击。对于依赖WordPress搭建业务的站长来说设置好就不管的时代早已过去持续的安全监控和及时的补丁管理才是避免成为下一个受害者的唯一办法。
