CVE-2026-3300: explotación activa en Everest Forms Pro

La vulnerabilidad Everest Forms Pro CVE-2026-3300 es una falla de ejecución remota de código con CVSS 9.8 que afecta todas las versiones del plugin hasta la 1.9.12. Permite a cualquier atacante no autenticado ejecutar código PHP arbitrario. Hasta mediados de mayo de 2026, se registraron más de 29.300 intentos de explotación.

Everest Forms Pro es un plugin de formularios para WordPress con más de 100.000 instalaciones activas. La vulnerabilidad reside en el addon de calculadora del plugin, donde el código usa la función eval() para procesar fórmulas personalizadas sin validar adecuadamente la entrada del usuario. El resultado es que un atacante externo, sin credenciales ni acceso previo, puede inyectar y ejecutar código en el servidor que aloja el sitio.

¿Qué es la vulnerabilidad CVE-2026-3300?

La falla está en el addon de calculadora de Everest Forms Pro. Este componente permite a los administradores del sitio construir fórmulas matemáticas personalizadas para campos de formularios, como cotizadores de precios o calculadoras de cuotas. Para procesar esas fórmulas, el código usa eval(), que toma una cadena de texto y la ejecuta como código PHP. Hasta ahí, una decisión de diseño discutible pero entendible. El problema viene después.

Antes de llegar a eval(), la entrada del usuario pasa por sanitize_text_field(), una función nativa de WordPress que elimina tags HTML y caracteres de control. Es una función útil para limpiar texto en contextos de interfaz, pero no está diseñada para neutralizar código PHP. Según el análisis técnico de Atomic Edge, un atacante puede escapar esa «sanitización» usando comillas simples y concatenación de strings, construyendo un payload que la función process_filter() ensambla antes de pasarlo a eval() sin restricciones reales.

Las consecuencias de una explotación exitosa incluyen:

• Creación de cuentas administrador fraudulentas para mantener acceso persistente al sitio una vez explotada la vulnerabilidad.
• Instalación de webshells y backdoors en el servidor, que sobreviven a actualizaciones del plugin.
• Robo de datos de la base de datos: usuarios, contraseñas hasheadas, datos de clientes o transacciones.
• Redirección del tráfico a sitios de phishing o distribución de malware sin que el administrador lo note.

La puntuación CVSS 9.8 no es una exageración del marketing de seguridad (esas existen, pero acá no aplica): significa ataque remoto, sin credenciales, con impacto total sobre confidencialidad, integridad y disponibilidad.

¿A qué versiones afecta y cuál es el timeline?

Todas las versiones de Everest Forms Pro hasta la 1.9.12 inclusive son vulnerables. La versión 1.9.13, que incluye el parche, se publicó el 18 de marzo de 2026. La divulgación pública de la vulnerabilidad fue el 30 de marzo, y la explotación activa comenzó el 13 de abril, según Infosecurity Magazine. Eso da casi cuatro semanas entre el parche y el inicio de ataques masivos.

• 18 de marzo de 2026: Publicación de la versión 1.9.13 con el parche.
• 30 de marzo de 2026: Divulgación pública del CVE-2026-3300.
• 13 de abril de 2026: Inicio documentado de explotación activa.
• 16 de mayo de 2026: Pico máximo de ataques: 17.900 intentos en un solo día.

Si administrás un sitio con Everest Forms Pro y no actualizaste en ese período, estás dentro de la ventana de riesgo. Si estás leyendo esto en junio y todavía no actualizaste, la situación es más seria: no solo podés ser atacado, sino que ya podrías haber sido comprometido. Cubrimos ese tema en detalle en aprende más sobre CVEs de WordPress.

¿Cómo funciona técnicamente el ataque?

Ponele que tenés un formulario de cotización con un campo de cálculo automático. El addon de calculadora procesa una expresión como precio * cantidad. El atacante no necesita ser usuario registrado ni tener acceso al panel de administración. Manda un request HTTP con un payload malicioso en el parámetro de la fórmula y, si la versión es vulnerable, el servidor lo evalúa como código PHP.

El plugin estaba instalado, el addon de calculadora activo, el endpoint expuesto a Internet, la función eval() esperando cualquier string que le mandaran, y el único escudo era una función de sanitización que limpia HTML pero no tiene ni idea de qué es una expresión PHP, así que el payload pasaba, se ensamblaba en process_filter(), llegaba a eval() y se ejecutaba.

¿El problema de fondo? Usar eval() con input del usuario es una mala práctica independientemente del escaping que uses. La validación correcta para este caso exige verificar que la entrada sea una expresión matemática válida, con un parser específico, no simplemente limpiarla de tags HTML con una función de propósito general.

Estadísticas de explotación activa y alcance del ataque

Los números son concretos. Según datos de Malware.news, se bloquearon más de 29.300 intentos de explotación. El pico fue el 16 de mayo de 2026, con 17.900 ataques registrados en un solo día.

Con más de 100.000 instalaciones activas del plugin, el alcance potencial es significativo. Eso sí: las cifras de «intentos bloqueados» provienen de firewalls y WAFs, lo que implica que los sitios sin esas capas de protección probablemente no tienen registro de lo que les ocurrió.

Entre los indicadores de compromiso documentados está la creación de cuentas administrador con nombres inusuales. Un caso que apareció en reportes de incidentes: la cuenta «diksimarina», creada automáticamente por el exploit para garantizar acceso persistente. Si aparece algo así en tu lista de usuarios, ya sabés lo que pasó (y cuándo). Para más detalles técnicos, mirá implementar un WAF para tu sitio.

¿Alguien sabe cuántos sitios quedaron efectivamente comprometidos y no solo atacados? Todavía no, y probablemente no se pueda saber con exactitud, porque los sitios sin monitoreo no tienen logs de lo que les entraron.

¿Cómo actualizar Everest Forms Pro de forma segura?

La actualización va primero. Desde el panel de WordPress, andá a Plugins > Plugins instalados, buscá Everest Forms Pro y hacé clic en «Actualizar ahora». Si tenés auto-updates configuradas, verificá que la versión instalada sea efectivamente la 1.9.13 o posterior antes de dar por resuelto el problema.

Después de actualizar, estos pasos no son opcionales:

• Revisá la lista completa de usuarios administrador. Andá a Usuarios > Todos los usuarios, filtrá por rol «Administrador» y verificá cada cuenta. Cualquiera que no reconocés, eliminala de inmediato y cambiá las contraseñas de las cuentas legítimas.
• Revisá archivos modificados recientemente. Si tenés acceso FTP o SSH, buscá archivos PHP modificados en los últimos 90 días en wp-content/uploads, en temas y en plugins con nombres que no reconocés.
• Auditá los logs del servidor. Buscá requests POST con parámetros relacionados a formularios de cálculo, especialmente desde IPs que aparecen repetidamente o en horarios inusuales.
• Cambiá las credenciales. Si el sitio estuvo expuesto sin parche, asumí que las credenciales de la base de datos, FTP y WordPress pueden haber sido comprometidas.

¿Cómo auditar y recuperar un sitio comprometido?

Si el sitio ya fue comprometido, la actualización del plugin no alcanza. Los atacantes probablemente instalaron acceso persistente que sobrevive al parche de la vulnerabilidad original.

Los signos más comunes de compromiso: cuentas administrador no reconocidas, archivos PHP con nombres aleatorios en /wp-content/uploads, redirecciones inesperadas a sitios externos, y código ofuscado al final de archivos PHP legítimos del tema activo o plugins instalados.

Herramientas para la auditoría:

• Wordfence Security (plan gratuito): escáner que compara los archivos de tu instalación contra los originales del repositorio de WordPress. Detecta modificaciones en core, temas y plugins activos.
• WP Activity Log: registra cambios en el sitio incluyendo creación de usuarios, cambios de rol y modificaciones de archivos. Útil para reconstruir qué pasó y en qué fechas.
• Logs del servidor web: la fuente más confiable. Si tenés acceso SSH o cPanel, los logs de acceso y error de Apache o Nginx muestran qué requests se procesaron y desde dónde.

Si el sitio está en hosting compartido, avisale al proveedor. Muchos tienen herramientas de escaneo que detectan malware en archivos que no aparecen en los escaneos a nivel de plugin. En donweb.com, por ejemplo, los planes incluyen escaneo automático que puede encontrar archivos comprometidos antes de que el daño se extienda.

Alternativas seguras para crear formularios en WordPress

Si el incidente te hace reconsiderar el plugin, hay opciones con historial documentado de respuesta a vulnerabilidades y actualizaciones activas en 2026: Complementá con protección DDoS como medida adicional.

Gravity Forms es la opción que más recomiendan equipos de desarrollo para sitios donde los formularios son críticos. La funcionalidad de cálculos es nativa, no un addon separado, lo que reduce la superficie de ataque. Para presupuestos más ajustados, Formidable Forms tiene la misma característica de cálculos integrados con un precio de entrada más bajo.

Mejores prácticas para proteger formularios WordPress

• Actualizaciones automáticas en plugins de formularios. Los formularios son puntos de entrada externos por diseño: reciben datos de cualquiera con acceso a Internet. Tener auto-updates activadas en plugins críticos no es una preferencia, es el mínimo.
• WAF a nivel de servidor o CDN. Un firewall de aplicaciones web bloquea patrones de payload conocidos antes de que lleguen a PHP. Para CVEs activos con exploits públicos, las reglas se actualizan con rapidez.
• Monitoreo de integridad de archivos. Wordfence en modo escáner alerta cuando un archivo PHP del sitio se modifica fuera del proceso normal de actualización de plugins. Es la diferencia entre detectar un compromiso en horas o en semanas.
• Auditoría mensual de usuarios administrador. Una revisión de dos minutos una vez al mes puede ahorrarte días de recuperación de un sitio comprometido.
• Principio de mínimo privilegio en plugins. Si el plugin de formularios no necesita acceso a endpoints específicos del REST API de WordPress, restringílos. Reducís la superficie de ataque sin afectar la funcionalidad.

Qué está confirmado y qué no

• Confirmado: CVSS 9.8, RCE sin autenticación, vector en el addon de calculadora, versiones vulnerables hasta 1.9.12.
• Confirmado: Parche publicado en la versión 1.9.13 el 18 de marzo de 2026.
• Confirmado: Más de 29.300 intentos de explotación bloqueados, con pico de 17.900 el 16 de mayo.
• Confirmado: Creación de cuentas administrador fraudulentas como indicador de compromiso documentado.
• No confirmado: Número exacto de sitios efectivamente comprometidos versus sitios que solo recibieron intentos bloqueados.
• No confirmado: Si el addon de calculadora fue el único vector o si existen rutas de explotación adicionales en otras funcionalidades del plugin.
• No confirmado: Distribución geográfica completa de los ataques y atribución a grupos específicos.

Errores comunes al gestionar esta vulnerabilidad

Error 1: Asumir que actualizar el plugin alcanza si el sitio ya fue comprometido. La actualización cierra la puerta de entrada original, pero no elimina el acceso que los atacantes pudieron instalar. Un backdoor en un archivo PHP dentro de /wp-content/uploads sobrevive sin problemas a la actualización de Everest Forms Pro. Si estuviste expuesto, la auditoría de archivos es obligatoria.

Error 2: Revisar usuarios administrador una vez y darlo por cerrado. Los exploits automatizados a veces crean cuentas con demora o las activan en una segunda fase. Hacé la revisión ahora y programá una mensual. No es un trabajo de cinco minutos de atención extra, es un hábito de mantenimiento.

Error 3: Pensar que «no uso la calculadora» te deja fuera del riesgo. El addon instalado y activo expone el endpoint aunque no tengas formularios con cálculos publicados en el sitio. La vulnerabilidad está en el código del addon, no en si la funcionalidad está en uso visible para los visitantes.

Preguntas Frecuentes

¿Qué es la vulnerabilidad CVE-2026-3300 en Everest Forms?

CVE-2026-3300 es una falla de ejecución remota de código (RCE) con CVSS 9.8 en el addon de calculadora de Everest Forms Pro. Permite a un atacante no autenticado inyectar y ejecutar código PHP arbitrario en el servidor, explotando el uso inseguro de la función eval() sin validación adecuada del input. Afecta todas las versiones del plugin hasta la 1.9.12 inclusive. Ya lo cubrimos antes en alternativas seguras para formularios.

¿Cómo sé si mi sitio WordPress está afectado por esta falla?

Tu sitio está afectado si tenés instalado Everest Forms Pro en versión 1.9.12 o inferior. Para verificarlo, andá a Plugins > Plugins instalados en el panel de WordPress y fijate el número de versión. Si es 1.9.12 o menor, actualizá de inmediato. Si el plugin estuvo activo sin actualizar entre enero y abril de 2026, auditá el sitio en busca de cuentas administrador no reconocidas y archivos PHP modificados.

¿Cuál es la versión segura de Everest Forms Pro?

La versión 1.9.13, publicada el 18 de marzo de 2026, incluye el parche para CVE-2026-3300. Cualquier versión posterior también incorpora la corrección. La recomendación es actualizar a la última versión disponible, no quedarse en la 1.9.13 mínima si hay versiones más recientes publicadas.

¿Cómo prevenir ataques de inyección de código en formularios WordPress?

Del lado del administrador del sitio, las medidas más efectivas son: mantener todos los plugins de formularios actualizados (con auto-updates activadas), usar un WAF que bloquee payloads conocidos antes de que lleguen a PHP, y activar monitoreo de integridad de archivos. Revisá también qué plugins tenés instalados y desinstalá los que no usás: cada plugin instalado es superficie de ataque aunque esté desactivado.

¿Cuáles son alternativas seguras a Everest Forms Pro en 2026?

Gravity Forms tiene el mejor track record de seguridad del mercado para formularios complejos con calculadoras, y los cálculos son nativos sin addon separado. WPForms es la alternativa más usada con 6 millones de instalaciones activas y historial de parches rápidos. Para presupuestos más ajustados, Formidable Forms tiene calculadora nativa desde USD 39/año con buena respuesta histórica a reportes de seguridad.

Conclusión

CVE-2026-3300 es el tipo de vulnerabilidad que más daño causa: crítica, sin autenticación requerida, con explotación automatizada a escala, y en un plugin con cien mil instalaciones. El gap entre el parche del 18 de marzo y el inicio de ataques masivos el 13 de abril dio tiempo real para actualizar. Quienes no lo aprovecharon están ahora entre los 29.300 intentos registrados, o peor, entre los sitios que no tienen registro de nada porque no tenían monitoreo.

La lección técnica de fondo no sorprende a nadie que haya revisado código de seguridad: eval() con input del usuario es un error de diseño, no una vulnerabilidad de implementación. Lo que sí cambia con este caso es la velocidad: 17.900 intentos en un día muestran que los exploits se automatizan en horas después de una divulgación pública.

Si todavía no actualizaste, el paso uno es claro. Si ya actualizaste, no des el tema por cerrado sin revisar usuarios administrador y archivos recientes. Y si estás evaluando si seguir con Everest Forms Pro, la tabla de alternativas de arriba tiene opciones concretas con precios y características verificables.

Fuentes

• The Hacker News – Hackers exploit critical Everest Forms Pro WordPress plugin flaw
• Infosecurity Magazine – Everest Forms Pro RCE actively exploited
• Atomic Edge – CVE-2026-3300 Proof of Concept y análisis técnico
• SentinelOne – CVE-2026-3300 Vulnerability Database
• FreshySites – WordPress Security Bulletin: CVE-2026-3300