Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
WordPress 08.06.2026 · 4 min Lesezeit

Everest Forms Pro CVE‑2026‑3300: CVSS 9.8 – aktive Angriffswelle auf WordPress-Sites

Eine kritische RCE-Lücke im WordPress-Plugin Everest Forms Pro (CVSS 9.8) wird aktiv ausgenutzt. Über 29.300 Angriffsversuche wurden bereits blockiert. Betreiber sollten sofort auf Version 1.9.13 aktualisieren und ihre Installationen auf verdächtige Admin-Accounts prüfen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Symbolbild IT-Sicherheit: Schloss-Symbol vor Programmcode für eine kritische Exchange-Schwachstelle

Eine kritische Sicherheitslücke im WordPress-Plugin Everest Forms Pro wird seit Mitte April 2026 aktiv von Angreifern ausgenutzt. Die als CVE-2026-3300 erfasste Schwachstelle erhielt einen CVSS-Score von 9.8 und ermöglicht unauthentifizierten Angreifern, beliebigen PHP-Code auf dem Server auszuführen – und damit betroffene WordPress-Installationen vollständig zu übernehmen. Bisher wurden über 29.300 Exploit-Versuche registriert und blockiert. Ein Patch ist seit März 2026 verfügbar.

Die Schwachstelle: eval() trifft auf Nutzereingaben

Der Fehler steckt in der Funktion process_filter() des Calculation-Addons von Everest Forms Pro. Diese Funktion bettet Nutzereingaben unsicher in PHP-Code ein und führt diesen anschließend über eval() aus. Da keine ausreichende Validierung oder Filterung der Eingaben stattfindet, können Angreifer beliebigen PHP-Code einschleusen.

Besonders gravierend: Für die Ausnutzung ist keinerlei Authentifizierung erforderlich. Angreifer benötigen weder einen Account noch sonstige Zugangsdaten auf der Zielseite. Betroffen sind alle Versionen von Everest Forms Pro bis einschließlich 1.9.12.

DetailWert
CVECVE-2026-3300
CVSS-Score9.8 (Critical)
AngriffstypRemote Code Execution (RCE)
AuthentifizierungKeine erforderlich
Betroffene VersionenEverest Forms Pro bis einschließlich 1.9.12
Patch-Version1.9.13 (veröffentlicht 18. März 2026)
Aktive Ausnutzung seit13. April 2026

Als typisches Angriffsziel wurde die Erstellung eines neuen Administrator-Accounts mit dem Benutzernamen diksimarina beobachtet. Darüber hinaus ist die Installation von Backdoors sowie der Zugriff auf sensible Daten möglich.

Bin ich betroffen?

Betroffen sind alle WordPress-Installationen, auf denen das kostenpflichtige Plugin Everest Forms Pro in einer Version bis einschließlich 1.9.12 aktiv ist. Laut WordPress-Repository sind rund 4.000 aktive Installationen des Plugins im Einsatz.

Betreiber können die installierte Plugin-Version im WordPress-Backend unter Plugins → Installierte Plugins prüfen. Zur Überprüfung auf eine mögliche Kompromittierung empfiehlt sich zusätzlich ein Blick in die Benutzerverwaltung: Unbekannte Administrator-Accounts – insbesondere mit dem Benutzernamen diksimarina – sind ein starkes Indiz für eine erfolgreiche Attacke.

Wer eine WAF (Web Application Firewall) oder einen Sicherheitsdienst wie Wordfence oder Patchstack einsetzt, sollte die Protokolle auf blockierte Anfragen gegen das Calculation-Addon prüfen.

Wie behebe ich das?

Der Hersteller hat mit Version 1.9.13 einen Patch bereitgestellt, der die unsichere Eingabeverarbeitung in process_filter() behebt. Das Update wurde am 18. März 2026 veröffentlicht und sollte sofort eingespielt werden.

Die empfohlenen Schritte im Überblick:

  1. Sofortiges Update auf Everest Forms Pro 1.9.13 oder höher über das WordPress-Backend (Plugins → Updates).
  2. Benutzerverwaltung prüfen: Alle Administrator-Accounts kontrollieren und nicht autorisierte Konten – insbesondere diksimarina – sofort entfernen.
  3. Backdoor-Suche: Die gesamte WordPress-Installation auf neu angelegte oder veränderte PHP-Dateien untersuchen, insbesondere in den Verzeichnissen wp-content/uploads, wp-content/plugins und wp-content/themes.
  4. Passwörter ändern: Alle Administrator- und Datenbankpasswörter zurücksetzen, wenn ein Angriff nicht ausgeschlossen werden kann.
  5. WAF aktivieren: Eine Web Application Firewall als zusätzliche Schutzschicht einrichten, um künftige Exploit-Versuche abzufangen.

Wie die grundsätzliche Absicherung eines Linux-Servers ergänzend zur WordPress-Härtung aussehen kann, beschreibt die s-edv.com-Anleitung Linux-Server absichern mit UFW und Fail2ban. Wer für seine WordPress-Instanz zusätzlich auf Zwei-Faktor-Authentifizierung setzt, findet in der Anleitung Zwei-Faktor-Authentifizierung einführen eine praxisnahe Schritt-für-Schritt-Anleitung.

Was bedeutet das für Unternehmen?

Mit einem CVSS-Score von 9.8 und aktiver Ausnutzung gehört CVE-2026-3300 zu den dringlichsten Sicherheitsproblemen im WordPress-Ökosystem dieses Jahres. Die Kombination aus unauthentifiziertem Zugriff und vollständiger Code-Ausführung erlaubt es Angreifern, eine betroffene Site innerhalb von Sekunden vollständig zu übernehmen.

Für Unternehmen, die Everest Forms Pro für Kunden- oder Bestellformulare einsetzen, ist das Risiko besonders ernst: Angreifer können nicht nur Datenbankzugriff erlangen und Kundendaten abziehen, sondern auch Skimmer-Code in Formulare einschleusen, der Zahlungsdaten oder persönliche Informationen abgreift. Das stellt für DSGVO-pflichtige Betriebe ein erhebliches Compliance-Risiko dar – eine meldepflichtige Datenpanne nach Artikel 33 DSGVO kann die Folge sein.

Die Tatsache, dass über 29.300 Angriffsversuche seit dem 13. April 2026 registriert wurden, zeigt, dass die Lücke von Angreifern systematisch gescannt und ausgenutzt wird. Wer das Update noch nicht eingespielt hat, sollte dies als absolute Priorität behandeln. Das Deaktivieren des Plugins ohne sofortigen Patch ist als Zwischenlösung ebenfalls eine Option, um die Angriffsfläche sofort zu reduzieren.

Quellen

The Hacker News: Hackers Exploit Critical Everest Forms Pro WordPress Plugin Flaw to Take Over Sites | BleepingComputer: Critical Everest Forms Pro flaw exploited to take over WordPress sites | Infosecurity Magazine: Everest Forms Pro Vulnerability Allows Remote Code Execution

Verwandt

Weiter lesen

Alle Artikel →
Illustration einer kritischen WordPress-Sicherheitslücke in Everest Forms Pro mit roter Warnanzeige, Hacker-Symbolik und laufendem Exploit auf dunklem Cybersecurity-Hintergrund.
07.06.2026 ·4 min

WordPress Everest Forms Pro: Kritische RCE-Lücke CVE-2026-3300 (CVSS 9.8) aktiv ausgenutzt

Angreifer nutzen aktiv eine kritische Remote-Code-Execution-Lücke (CVE-2026-3300, CVSS 9.8) im WordPress-Plugin Everest Forms Pro aus. Alle Versionen bis 1.9.12 sind betroffen, rund 4.000 Installationen bleiben ungepatcht. Update auf Version 1.9.13 ist sofort erforderlich.
Gebrochenes digitales Schloss symbolisiert kritische WordPress-Sicherheitslücke
04.06.2026 ·3 min

WordPress-Plugin Kirki: CVE-2026-8206 ermöglicht Admin-Übernahme auf 500.000+ Websites

Kritische Lücke CVE-2026-8206 (CVSS 9.8) im WordPress-Plugin Kirki: Unauthentifizierte Angreifer übernehmen Admin-Konten via manipuliertem Passwort-Reset. Über 500.000 Installationen betroffen – Patch auf Version 6.0.7 sofort einspielen.
Warn-Infografik zu CVE-2026-8732 in WP Maps Pro, mit unauthentifizierter Admin-Übernahme über eine kritische Plugin-Lücke, betroffenen WordPress-Websites, dringendem Update auf Version 6.1.1 und mehr als 15.000 gefährdeten Installationen.
03.06.2026 ·3 min

WP Maps Pro (CVE-2026-8732): Kritische Lücke erlaubt Admin-Übernahme - über 15.800 Sites in Gefahr

Eine kritische Lücke (CVE-2026-8732, CVSS 9.8) im WordPress-Plugin WP Maps Pro erlaubt Angreifern ohne Anmeldung, Administrator-Konten anzulegen. Wordfence meldet aktive Angriffe - Patch 6.1.1 steht bereit.