Nova falha crítica ameaça sites WordPress

Uma vulnerabilidade crítica no plugin Everest Forms Pro para WordPress está a ser explorada ativamente por atacantes para obter controlo total sobre websites vulneráveis. A falha, identificada como CVE-2026-3300, afeta todas as versões até à 1.9.12 e permite a execução remota de código sem necessidade de autenticação.

O Everest Forms Pro é uma extensão comercial do plugin Everest Forms, utilizada para criar formulários de contacto, registo, pagamentos e outras aplicações personalizadas em ambientes WordPress.

Segundo a Wordfence, a vulnerabilidade encontra-se na funcionalidade Complex Calculation. O mecanismo processa valores introduzidos pelos utilizadores e incorpora-os em código PHP que é posteriormente executado. Embora exista um mecanismo de sanitização dos dados recebidos, este não impede a utilização de determinados caracteres capazes de alterar a sintaxe do código PHP.

Esta limitação permite que um atacante injete código arbitrário, execute comandos no servidor e assuma o controlo do website comprometido.

A análise da Wordfence mostra que a exploração da falha está a ser utilizada para criar contas de administrador não autorizadas. Num dos casos observados, os atacantes introduzem código que recorre a uma determinada função para criar uma nova conta administrativa.

Uma vez obtidos privilégios de administrador, os atacantes passam a ter acesso total ao ambiente WordPress. Entre as ações possíveis estão a modificação de conteúdos, instalação de plugins e temas maliciosos, implementação de backdoors e webshells, bem como o acesso a bases de dados e informação privada.

A vulnerabilidade foi reportada pelo investigador h0xilo através da plataforma da Wordfence em fevereiro de 2026, tendo o fabricante disponibilizado uma correção a 18 de março.

Apesar da disponibilização da atualização, a exploração ativa começou a ser detetada a partir de 13 de abril. De acordo com a Wordfence, foram bloqueadas mais de 29 mil tentativas de exploração através dos seus mecanismos de proteção.

A empresa identificou dois endereços IP como principais origens dos ataques observados, embora tenha divulgado uma lista mais alargada de indicadores de compromisso (IOC) associados à campanha.

Perante este cenário, os administradores de websites WordPress são aconselhados a atualizar imediatamente o Everest Forms Pro para a versão corrigida, rever os registos de atividade dos sistemas e verificar a existência de contas administrativas suspeitas, em particular com referências ao nome de utilizador "diksimarina".