Attori attivi stanno sfruttando CVE-2026-3300, una vulnerabilità di esecuzione remota di codice con punteggio CVSS 9.8 nel plugin WordPress Everest Forms Pro. L'exploitation è iniziata il 13 aprile 2026, a 57 giorni dal rilascio della versione correttiva 1.9.13 e a 26 giorni dalla disclosure pubblica del 30 marzo. Secondo i dati Wordfence, sono stati bloccati oltre 29.300 tentativi di attacco, con un picco di oltre 17.900 richieste in un solo giorno il 16 maggio.
- CVE-2026-3300 colpisce Everest Forms Pro fino alla versione 1.9.12: unauthenticated RCE via eval() nel componente Complex Calculation
- La patch 1.9.13 è disponibile dal 18 marzo 2026, ma l'exploitation attiva è iniziata il 13 aprile e prosegue con 16 tentativi registrati nelle ultime 24 ore
- Il payload più diffuso crea un account amministratore 'diksimarina': l'IP 202.56.2.126 ha generato oltre 26.300 richieste bloccate
- Le regole firewall Wordfence Premium erano attive dal 27 febbraio, quelle gratuite dal 29 marzo: la protezione virtuale non ha tradotto patching effettivo
Il meccanismo: quando sanitize_text_field() incontra eval()
La radice della falla risiede nella funzione process_filter() del Calculation Addon. Questa componente costruisce dinamicamente stringhe di codice PHP concatenando valori inviati dall'utente attraverso i campi modulo, quindi le passa a eval(). Secondo l'analisi Wordfence riportata da The Hacker News: "This is due to the Calculation Addon's process_filter() function concatenating user-submitted form field values into a PHP code string without proper escaping before passing it to eval()".
La funzione sanitize_text_field() viene applicata all'input, ma non neutralizza gli apici singoli né altri caratteri significativi nel contesto di esecuzione codice PHP. Come documenta Wordfence: "The sanitize_text_field() function applied to input does not escape single quotes or other PHP code context characters. This makes it possible for unauthenticated attackers to inject and execute arbitrary PHP code on the server by submitting a crafted value in any string-type form field".
I campi attaccabili comprendono testo, email, URL, select e radio. L'unico prerequisito è che la funzionalità Complex Calculation sia abilitata. L'endpoint di attacco è /wp-admin/admin-ajax.php, raggiungibile senza autenticazione. La costruzione del payload sfrutta la capacità di uscire dal contesto stringa in PHP e inietrare istruzioni arbitrarie.
"More than 29,300 exploit attempts targeting the defect have been blocked to date. Of these, 16 attack attempts occurred in the last 24 hours" — Wordfence, via The Hacker News
La timeline del patch gap: 57 giorni di finestra aperta
La vulnerabilità è stata segnalata al programma bug bounty Wordfence dal ricercatore h0xilo. La cronologia rivela uno scollamento sistematico tra disponibilità della correzione e adozione effettiva:
18 marzo 2026: WPEverest rilascia la versione 1.9.13. 27 febbraio: Wordfence distribuisce la regola firewall per i clienti Premium, anticipando il rilascio pubblico del fix di quasi tre settimane. 29 marzo: la stessa protezione raggiunge gli utenti gratuiti. 30 marzo: disclosure pubblica. 13 aprile: inizio exploitation attiva.
La regola firewall ha filtrato il traffico malevolo prima che il codice patchato fosse accessibile, ma questa protezione virtuale non ha eliminato la vulnerabilità sottostante. Gli amministratori che non hanno aggiornato il plugin — nonostante l'alert del WAF — hanno mantenuto attiva la falla nel proprio codice. Il risultato è una classica configurazione di patch gap: la difesa perimetrale ha mascherato il debito tecnico, ritardando l'intervento correttivo.
Il 16 maggio 2026 si registra un'escalation significativa: oltre 17.900 tentativi in 24 ore, secondo i dati Wordfence riportati da Infosecurity Magazine. Cybersecurity News aggiunge che l'IP 202.56.2.126 è responsabile di oltre 26.300 richieste bloccate, con altri indirizzi attivi: 209.146.60.26, 15.235.166.18, 2402:1f00:8000:800::40db e 185.78.165.153.
Il pattern diksimarina: automazione e commodity exploitation
Il payload più ricorrente nella telemetria Wordfence crea un account amministratore con username 'diksimarina' e indirizzo email diksimarina@gmail.com. Questa IOC è documentata in quattro fonti indipendenti, con dati convergenti su identità dell'account e volumi di attacco.
L'uso di un account predefinito con nome consistente suggerisce un toolkit automatizzato piuttosto che attacchi manuali mirati. La ripetibilità del pattern, combinata con la concentrazione del traffico su pochi IP, indica che l'exploit è probabilmente integrato in un framework di commodity exploitation per WordPress — strumenti che scansionano, identificano versioni vulnerabili e deployano payload standardizzati.
Il plugin Everest Forms Pro conta circa 4.000 installazioni attive: un numero modesto che non attenua il rischio. Ogni sito compromesso può fungere da pivot per attacchi all'ambiente di hosting, esfiltrazione dati, distribuzione di ulteriori payload o inserimento in botnet. L'RCE non autenticato su WordPress rimane uno dei vettori più efficienti per la compromissione infrastrutturale, indipendentemente dalla popolarità del singolo plugin.
Cosa fare adesso
- Verificare la versione installata di Everest Forms Pro: aggiornare immediatamente alla 1.9.13 o superiore se si utilizza una release fino alla 1.9.12
- Auditare gli account amministratori del sito WordPress: rimuovere eventuali utenti 'diksimarina' o altri account non riconosciuti creati nei mesi recenti
- Esaminare i log di accesso per richieste POST a
/wp-admin/admin-ajax.phpcon origine dagli IP documentati, in particolare 202.56.2.126 - Valutare se la funzionalità Complex Calculation sia effettivamente necessaria: in caso contrario, disabilitarla come misura di contenimento aggiuntiva
Le fonti non specificano il numero di compromissioni avvenute con successo: la telemetria disponibile riguarda esclusivamente i tentativi bloccati. Non emergono sovrapposizioni infrastrutturali che colleghino l'attore responsabile del pattern diksimarina a campagne note allo stato attuale. Il dossier non documenta inoltre se WPEverest abbia rilasciato un advisory indipendente dalla patch, né se CVE-2026-3300 sia stato inserito nel catalogo CISA KEV.
La lezione del finestrone aperto
Ciò che rende questo caso rilevante non è la sofisticazione tecnica — un eval() su input non sanificato è una classe di bug ben documentata — ma la persistenza della vulnerabilità nonostante la disponibilità di multiple linee di difesa. Il firewall ha filtrato, la patch è stata rilasciata, la disclosure ha avvertito: eppure migliaia di tentativi continuano, mesi dopo, su sistemi ancora esposti.
Il pattern diksimarina, con la sua identità prevedibile, è sia indicatore di automazione che traccia forense. Chiunque gestisca un sito WordPress con questo plugin installato dispone di parametri di ricerca precisi per verificare lo stato di compromissione. La domanda non è se l'exploit funzioni — funziona — ma quanti amministratori applicheranno la correzione prima che il prossimo spike di attacchi li raggiunga.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/hackers-exploit-critical-everest-forms.html
- https://cybersecuritynews.com/wordpress-plugin-vulnerability-exploit/
- https://www.infosecurity-magazine.com/news/everest-forms-pro-rce-actively/
- https://www.sentinelone.com/vulnerability-database/cve-2026-3300/
- https://techlomedia.in/2026/06/critical-everest-forms-pro-vulnerability-under-active-attack-124308/
- https://thehackernews.com/
- https://thehackernews.com/p/upcoming-hacker-news-webinars.html
- https://thehackernews.com/search/label/Threat%20Intelligence
- https://thehackernews.com/search/label/Vulnerability
- https://thehackernews.com/search/label/Cyber%20Attack