WordPress Everest Forms Pro: Kritische RCE-Lücke CVE‑2026‑3300 (CVSS 9.8) aktiv ausgenutzt
Angreifer nutzen aktiv eine kritische Remote-Code-Execution-Lücke (CVE-2026-3300, CVSS 9.8) im WordPress-Plugin Everest Forms Pro aus. Alle Versionen bis 1.9.12 sind betroffen, rund 4.000 Installationen bleiben ungepatcht. Update auf Version 1.9.13 ist sofort erforderlich.
Eine kritische Sicherheitslücke im WordPress-Plugin Everest Forms Pro wird seit April 2026 aktiv von Angreifern ausgenutzt. Die Schwachstelle mit der Kennung CVE-2026-3300 und einem CVSS-Score von 9.8 ermöglicht unauthentifizierte Remote-Code-Execution (RCE) – also die Ausführung beliebigen Codes auf dem Webserver, ohne dass eine Anmeldung erforderlich ist. Betroffen sind alle Versionen bis einschließlich 1.9.12. Obwohl seit dem 18. März 2026 ein Patch in Version 1.9.13 verfügbar ist, sind nach aktuellen Schätzungen noch rund 4.000 Installationen ungepatcht und damit aktiv gefährdet.
Die Schwachstelle im Detail
Der Fehler steckt in der Funktion „Complex Calculation" des Calculation-Addons von Everest Forms Pro. Diese Funktion ermöglicht es, Formularfelder mit mathematischen Berechnungen zu verknüpfen. Das Problem: Benutzereingaben werden ohne ausreichende Bereinigung direkt an PHPs eval()-Funktion übergeben. Angreifer können auf diesem Weg beliebigen PHP-Code einschleusen und auf dem Server ausführen – ohne sich zuvor authentifizieren zu müssen.
Die Schwachstelle wurde als eval()-Injection klassifiziert. Da keinerlei Authentifizierung notwendig ist, kann jeder externe Angreifer mit Internetzugang die Lücke ausnutzen, sofern das Plugin aktiv und ungepatcht ist.
| Detail | Information |
|---|---|
| CVE-ID | CVE-2026-3300 |
| CVSS-Score | 9.8 (Kritisch) |
| Angriffstyp | Remote Code Execution, unauthentifiziert |
| Ursache | eval()-Injection in „Complex Calculation"-Funktion |
| Betroffene Versionen | Everest Forms Pro ≤ 1.9.12 |
| Patch verfügbar seit | 18. März 2026 (Version 1.9.13) |
| Aktive Angriffe seit | 13. April 2026 |
| Blockierte Angriffsversuche | über 29.300 |
Bin ich betroffen?
Betroffen ist das kostenpflichtige Plugin Everest Forms Pro in allen Versionen bis einschließlich 1.9.12. WordPress-Betreiber können die installierte Pluginversion im WordPress-Adminbereich unter Plugins → Installierte Plugins einsehen. Liegt die angezeigte Version bei 1.9.12 oder niedriger, ist die Installation verwundbar.
Laut aktuellen Angaben sind noch rund 4.000 Installationen weltweit ungepatcht. Seit dem 13. April 2026 wurden mehr als 29.300 Angriffsversuche registriert und blockiert. Die Angriffe gehen dabei von fünf dokumentierten IP-Adressen aus. Die häufigste beobachtete Payload umfasst das Anlegen eines Administratorkontos mit dem Namen diksimarina. Das Vorhandensein eines solchen Kontos kann ein Indikator für eine bereits erfolgte Kompromittierung sein.
Wer prüfen möchte, ob unbekannte Administratorkonten existieren, kann dies im WordPress-Dashboard unter Benutzer → Alle Benutzer mit dem Filter „Administrator" tun. Für den Umgang mit kompromittierten WordPress-Installationen bietet unsere Anleitung zum Thema Ransomware-Notfallplan: die ersten 60 Minuten eine strukturierte Vorgehensweise für den Ernstfall. Ergänzend empfiehlt sich der Einsatz von Zwei-Faktor-Authentifizierung, um zusätzlich angelegte Konten zumindest in ihrer Nutzbarkeit einzuschränken.
Wie behebe ich das?
Die wichtigste Maßnahme ist ein sofortiges Update auf Everest Forms Pro Version 1.9.13 oder höher. Das Update steht seit dem 18. März 2026 zur Verfügung und schließt die Schwachstelle vollständig.
Empfohlene Schritte:
- Im WordPress-Dashboard unter Plugins → Installierte Plugins prüfen, ob ein Update für Everest Forms Pro verfügbar ist.
- Das Update auf Version 1.9.13 (oder neuer) einspielen.
- Nach dem Update prüfen, ob unbekannte Administratorkonten existieren – insbesondere nach dem Konto
diksimarina. - Sollte ein solches Konto vorhanden sein, ist von einer Kompromittierung auszugehen. In diesem Fall ist eine vollständige Sicherheitsüberprüfung der Installation notwendig.
Ist ein sofortiges Update nicht möglich, sollte das Plugin unverzüglich deaktiviert werden, bis der Patch eingespielt werden kann. Eine deaktivierte Plugininstallation kann die Schwachstelle nicht ausnutzen. Als zusätzliche Schutzebene kann eine Web Application Firewall (WAF) eingesetzt werden, die bekannte Angriffssignaturen erkennt und blockiert.
Was bedeutet das für Unternehmen?
Die Schwachstelle CVE-2026-3300 ist in der Praxis bereits aktiv ausgenutzt worden und stellt damit keine theoretische Gefahr mehr dar. Die Konsequenzen einer erfolgreichen Ausnutzung sind weitreichend: Angreifer können die vollständige Kontrolle über die betroffene WordPress-Installation übernehmen. Dies ermöglicht Datendiebstahl, die Verunstaltung der Website (Defacement), den Einsatz der kompromittierten Seite als Malware-Verteiler sowie den Zugriff auf sämtliche in der Datenbank gespeicherten Informationen – inklusive Kundendaten, Bestelldaten oder Zugangsdaten.
Besonders kritisch ist der Umstand, dass die Lücke keine Anmeldung erfordert. Jeder, der die URL der WordPress-Instanz kennt, kann einen Angriff starten. Die Tatsache, dass rund 4.000 Installationen trotz eines seit März 2026 verfügbaren Patches noch immer verwundbar sind, zeigt den anhaltenden Handlungsbedarf.
Für IT-Verantwortliche, die mehrere WordPress-Installationen betreuen, ist es ratsam, Plugin-Updates systematisch zu überwachen und zeitnah einzuspielen. Regelmäßige Backups – geprüft auf Wiederherstellbarkeit – sind darüber hinaus eine wichtige Grundlage, um im Kompromittierungsfall schnell reagieren zu können. Hinweise dazu gibt unsere Anleitung Backup-Restore-Testroutine etablieren.
