返回
快讯

Everest Forms Pro 漏洞被积极利用

Wordfence 指出,Everest Forms Pro 的 CVE-2026-3300 正被积极利用,可导致未认证攻击者在服务器上执行任意 PHP 代码并完全接管站点。该漏洞影响 1.9.12 及以下版本,补丁已于 2026-03-18 发布为 1.9.13。建议尽快升级,并留意相关攻击来源与管理员账户创建行为。

CVE-2026-3300

威胁行为者正在积极利用 Everest Forms Pro 中一个严重安全漏洞。Everest Forms Pro 是一款约有 4,000 个活跃安装的 WordPress 插件。该漏洞可被用于执行任意代码,进而导致站点完全被攻陷。

该漏洞编号为 CVE-2026-3300(CVSS 评分:9.8),是一个远程代码执行缺陷,影响插件截至并包括 1.9.12 的所有版本。该漏洞的补丁已于 2026 年 3 月 18 日随 1.9.13 版本发布。

Wordfence 表示:“这是因为 Calculation Addon 的 process_filter() 函数在传递给 eval() 之前,没有进行适当转义,就把用户提交的表单字段值拼接进了一个 PHP 代码字符串。”

“对输入应用的 sanitize_text_field() 函数不会转义单引号或其他 PHP 代码上下文字符。这使得未认证攻击者能够在表单使用 ‘Complex Calculation’ 功能时,通过提交构造值,在任意字符串类型表单字段(text、email、URL、select、radio)中注入并执行服务器上的任意 PHP 代码。”

成功利用该漏洞后,未认证攻击者可在服务器上执行任意 PHP 代码,从而创建恶意管理员账户、部署 web shell,并打开其他进入服务器深处并建立持久立足点的途径。

根据这家 WordPress 安全公司说法,攻击者自 2026 年 4 月 13 日起已被观察到利用该漏洞。迄今,针对该缺陷的利用尝试已被拦截超过 29,300 次。其中,过去 24 小时内发生了 16 次攻击尝试。最常见的载荷是尝试在受影响站点上创建名为 “diksimarina”(邮箱地址:[email protected])的管理员账户。

这些攻击行为来自以下 IP 地址:

202.56.2.126

209.146.60.26

15.235.166.18

2402:1f00:8000:800::40db

185.78.165.153

Skimmer 攻击利用 Stripe 作为 C2

与此同时,Sansec 警告了多起 skimmer 攻击活动,其中一个活动使用 Stripe 作为 command-and-control(C2)服务器和数据外传落点,试图利用该品牌的声誉并绕过 Content Security Policy 规则和网络过滤器。

Sansec 指出:“攻击者把 Stripe 当作免费基础设施,而不是洗钱的方式。Stripe 为他们提供了一个可写入被盗卡片的数据库,以及一个用于 skimmer 的代码托管端点,这些都位于一个默认会被 CSP 规则和网络过滤器信任的域名之后。”

该活动依赖 Google Tag Manager(GTM)和 Stripe 域名——googletagmanager.com 和 api.stripe.com——这两个域名都被在线商店默认信任。恶意代码从一个 GTM container 加载,并在每个加载它的页面上执行。

在 Magento 和 Adobe Commerce 的结账页面上,它会从 Stripe 客户账户的 metadata 字段中提取一个经过混淆的 skimmer(本例中为 “cus_TfFjAAZQNOYENR”),并把毫无戒心的用户输入的财务信息、账单与电子邮件地址以及电话号码保存到 localStorage。随后,捕获的数据会被外传回攻击者的 Stripe 账户。

这家电商安全公司说:“每一张被盗卡都会成为攻击者账户中的一个‘customer’。成功后,加载器会删除 localStorage 条目,因此同一记录不会发送两次。攻击者之后可用同一个 key 通过相同 API 列出其被盗卡。Stripe 的客户数据库就变成了一个免费、持久的外传落点。”

据称,包含该 skimmer 的 Stripe 客户记录创建于 2025 年 12 月 24 日,这表明该操作可能自那时起就已活跃。Sansec 还识别出该加载器的第二个变体,它使用 Google Firestore 而不是 Stripe,不过最终目的相同:滥用受信任服务作为不太可能被电商商店阻挡的隐蔽通道。

这些发现与一项名为 GorgonAgora 的大规模行动同时出现。该行动使用了 5,714 个伪造的 .shop 店面,冒充 Starbucks、Ford、Sony、Mattel、Hasbro、Lego、Disney 和 Toyota 等品牌,其结账页面把被盗卡数据发送到位于摩尔多瓦的单一 skimmer 服务器。该活动自 2025 年 8 月以来一直在进行。

“每家店都运行相同的 Medusa.js commerce stack,并加载相同的自定义 checkout SDK,该 SDK 会渲染一个假的 Stripe iframe,并通过加密 WebSocket 将卡数据外传到摩尔多瓦的一台单一服务器,”这家荷兰公司说。

“外传通过带有 AES-256-GCM payload 的 WebSocket 进行,C2 还维持一个实时的 3D Secure 中继:当受害银行返回 3DS challenge 时,操作者会把它代理回给购物者,通过假的 iframe 完成交易,并让盗取行为保持隐蔽。”