Underc0de - La Casa de los Informáticos

Los ciberdelincuentes están explotando activamente una vulnerabilidad crítica de ejecución remota de código (RCE) en Everest Forms Pro, un popular complemento de WordPress utilizado por miles de sitios web para la creación y gestión de formularios. La falla, identificada como CVE-2026-3300, posee una puntuación CVSS de 9,8 sobre 10 y permite a atacantes no autenticados ejecutar código PHP arbitrario en servidores vulnerables, lo que puede derivar en el control total del sitio comprometido.

La amenaza ha despertado una gran preocupación dentro de la comunidad de seguridad debido a que la explotación no requiere autenticación previa y puede ser utilizada para crear cuentas administrativas fraudulentas, instalar puertas traseras, desplegar web shells y mantener acceso persistente a largo plazo.

Según investigadores de Wordfence, la vulnerabilidad ya está siendo explotada de forma activa en Internet, con decenas de miles de intentos de ataque registrados desde abril de 2026.

¿Qué es la vulnerabilidad CVE-2026-3300?

La falla afecta a todas las versiones de Everest Forms Pro hasta la versión 1.9.12 incluida. Los desarrolladores corrigieron el problema mediante la publicación de la versión 1.9.13 el pasado 18 de marzo de 2026.

De acuerdo con el análisis técnico de Wordfence, el origen del problema se encuentra en la función process_filter() del complemento Calculation Addon, responsable de procesar cálculos complejos dentro de formularios dinámicos.

El error ocurre porque los datos enviados por los usuarios son concatenados directamente dentro de una cadena de código PHP que posteriormente es ejecutada mediante la función eval() sin una validación adecuada.

Aunque el complemento utiliza sanitize_text_field() para limpiar las entradas, esta función no elimina correctamente determinados caracteres peligrosos utilizados en el contexto de ejecución PHP, incluyendo comillas simples y otros elementos que permiten la inyección de código.

Como resultado, un atacante puede enviar datos especialmente diseñados a través de campos de formularios como:

• Campos de texto.
• Direcciones de correo electrónico.
• Campos URL.
• Menús desplegables.
• Botones de selección (radio).

Cuando el formulario utiliza la función de "Cálculo Complejo", estos valores maliciosos pueden ejecutarse directamente en el servidor.

Ejecución remota de código y control total del sitio

La gravedad de CVE-2026-3300 radica en que permite la ejecución remota de código sin necesidad de autenticación.

Una vez explotada la vulnerabilidad, los atacantes pueden ejecutar comandos PHP arbitrarios con los privilegios del servidor web, lo que abre la puerta a múltiples escenarios de compromiso.

Entre las acciones más comunes observadas por los investigadores destacan:

• Creación de nuevas cuentas de administrador.
• Instalación de puertas traseras persistentes.
• Despliegue de web shells.
• Robo de bases de datos.
• Manipulación de contenido web.
• Instalación de malware adicional.
• Movimiento lateral dentro del servidor.
• Persistencia prolongada en la infraestructura comprometida.

En muchos casos, el sitio web afectado puede quedar completamente bajo control del atacante en cuestión de minutos.

Más de 29.000 intentos de explotación detectados

Wordfence confirmó que la actividad maliciosa relacionada con CVE-2026-3300 comenzó a observarse activamente desde el 13 de abril de 2026.

Desde entonces, los sistemas de protección de la compañía han bloqueado más de 29.300 intentos de explotación dirigidos a sitios WordPress vulnerables.

Aunque el volumen total ya resulta preocupante, los investigadores indicaron que la actividad continúa activa. Solo durante las últimas 24 horas se registraron al menos 16 nuevos intentos de explotación.

La carga útil más frecuente observada en estos ataques tiene como objetivo crear una cuenta administrativa fraudulenta con el nombre:

diksimarina

Utilizando la dirección de correo electrónico:

[email protected]

La creación de cuentas administrativas es una táctica habitual utilizada por los atacantes para mantener acceso incluso después de que la vulnerabilidad original haya sido corregida.

Direcciones IP vinculadas a los ataques

Wordfence también publicó varias direcciones IP asociadas con actividades de explotación detectadas recientemente.

Entre las direcciones observadas se encuentran:

• 202.56.2.126
• 209.146.60.26
• 15.235.166.18
• 2402:1f00:8000:800::40db
• 185.78.165.153

Los administradores de WordPress pueden utilizar esta información como parte de sus procesos de monitoreo y análisis de registros para identificar posibles intentos de intrusión.

No obstante, los expertos advierten que los atacantes suelen utilizar infraestructuras distribuidas y servidores comprometidos, por lo que bloquear únicamente estas direcciones no garantiza protección completa.

Sansec descubre campañas de skimming que utilizan Stripe como infraestructura de comando y control

Mientras la comunidad de WordPress enfrenta la amenaza de CVE-2026-3300, investigadores de Sansec han descubierto una campaña independiente de robo de tarjetas de crédito que utiliza servicios legítimos de Stripe como infraestructura encubierta de comando y control (C2).

El objetivo principal de los atacantes consiste en aprovechar la confianza que los comercios electrónicos depositan en servicios ampliamente utilizados como:

• Stripe.
• Google Tag Manager.
• Google Firestore.

Los investigadores explican que muchos sitios de comercio electrónico permiten automáticamente conexiones hacia estos servicios debido a sus políticas de seguridad de contenido (CSP), lo que convierte a estas plataformas en canales ideales para ocultar actividades maliciosas.

Cómo funciona el ataque utilizando Stripe

La campaña detectada por Sansec emplea código malicioso cargado a través de Google Tag Manager para infectar tiendas basadas en Magento y Adobe Commerce.

Una vez activo, el malware descarga un skimmer oculto almacenado dentro de los metadatos de una cuenta legítima de Stripe.

Cuando los usuarios introducen información de pago durante el proceso de compra, el malware recopila:

• Números de tarjetas bancarias.
• Direcciones de facturación.
• Correos electrónicos.
• Números telefónicos.
• Datos de pago adicionales.

Toda esta información es almacenada temporalmente en localStorage y posteriormente enviada a la cuenta de Stripe controlada por los atacantes.

De esta forma, los delincuentes convierten la infraestructura de Stripe en una base de datos gratuita para almacenar tarjetas robadas sin necesidad de desplegar servidores propios.

GorgonAgora: más de 5.700 tiendas falsas roban tarjetas de crédito

Los hallazgos de Sansec también coinciden con una operación masiva denominada GorgonAgora.

Esta campaña ha creado al menos 5.714 tiendas fraudulentas bajo dominios .shop que se hacen pasar por marcas mundialmente reconocidas.

Entre las marcas suplantadas destacan:

• Starbucks.
• Ford.
• Sony.
• Mattel.
• Hasbro.
• Lego.
• Disney.
• Toyota.

Todas estas tiendas falsas utilizan una infraestructura basada en Medusa.js junto con un sistema de pago fraudulento que simula la apariencia de Stripe.

Los datos robados son enviados a un servidor centralizado ubicado en Moldavia mediante conexiones WebSocket cifradas utilizando AES-256-GCM.

Lo más preocupante es que la operación también incorpora un mecanismo avanzado para gestionar desafíos 3D Secure en tiempo real. Esto permite a los atacantes completar transacciones fraudulentas sin despertar sospechas en las víctimas ni en las entidades financieras.

La amenaza contra WordPress y el comercio electrónico sigue creciendo

La explotación activa de CVE-2026-3300 y las campañas avanzadas de skimming detectadas por Sansec demuestran que los ciberdelincuentes continúan ampliando sus capacidades para comprometer plataformas web y robar información sensible.

Para los administradores de WordPress, la prioridad inmediata debe ser actualizar Everest Forms Pro a la versión 1.9.13 o superior, revisar la existencia de cuentas administrativas sospechosas y analizar registros en busca de actividad maliciosa.

Al mismo tiempo, las organizaciones de comercio electrónico deben reforzar el monitoreo de scripts externos, auditar sus configuraciones de seguridad de contenido y supervisar continuamente cualquier modificación no autorizada en sus procesos de pago.

La combinación de vulnerabilidades críticas, robo de credenciales y campañas de skimming cada vez más sofisticadas confirma que la seguridad web seguirá siendo uno de los principales desafíos para empresas y administradores durante 2026.

Fuente: https://thehackernews.com/