Popüler WordPress eklentisi Everest Forms Pro'da kritik bir güvenlik açığı tespit edildi. Wordfence tarafından yapılan analize göre, CVE-2026-3300 koduyla izlenen bu açık, saldırganların hedef sunucuda PHP kodu çalıştırarak siteyi tamamen ele geçirmesine olanak tanıyor. CVSS puanı 9.8 olan bu güvenlik açığı, 1.9.12 ve önceki tüm sürümleri etkiliyor. Yaklaşık 4000 aktif kuruluma sahip olan eklenti, WPEverest tarafından geliştirilen ticari bir form oluşturucu.
Açığın temelinde, eklentinin Calculation eklentisi yatıyor. Bu eklenti, form hesaplamalarını PHP'nin eval() fonksiyonu ile çalıştırıyor. Gönderilen alan değerleri, PHP string'ine eklenirken sanitize_text_field() fonksiyonu tek tırnak işaretlerini temizlemiyor. Bu sayede saldırgan, bir alan değerine tek tırnak ekleyerek string'den çıkıp PHP kodu enjekte edebiliyor. Yalnızca 'Complex Calculation' özelliği açık olan formlar bu açıktan etkileniyor ve text, email, URL, select veya radio alanları saldırı için kullanılabiliyor.
Başarılı bir saldırı, saldırganın yönetici hesabı oluşturmasına, web shell yerleştirmesine ve sisteme kalıcı erişim sağlamasına olanak tanıyor. Wordfence telemetri verilerine göre, saldırılar 13 Nisan 2026'da başladı. En yaygın saldırı yükü, 'diksimarina' adında bir yönetici hesabı oluşturmaya çalışıyor. Wordfence güvenlik duvarı, 29.300'den fazla saldırı girişimini engelledi ve 16 Mayıs'ta tek bir günde 17.900'den fazla saldırı tespit edildi.
Teknik Analiz
WPEverest, güvenlik açığını 1.9.13 sürümüyle kapatmış durumda. Eski sürümleri kullanan siteler hala risk altında olduğu için yöneticilerin eklentiyi hemen güncellemesi öneriliyor. Bu açık, WordPress eklentilerindeki güvenlik zafiyetlerinin ne kadar hızlı istismar edilebildiğini bir kez daha gösteriyor. Site sahiplerinin, güvenlik güncellemelerini gecikmeden uygulaması ve eklentileri düzenli olarak kontrol etmesi hayati önem taşıyor.