WordPress için geliştirilen Everest Forms Pro eklentisinde, saldırganların hedef sunucuda uzaktan PHP kodu çalıştırmasına olanak tanıyan kritik bir güvenlik açığı keşfedildi. Wordfence güvenlik firması tarafından yapılan analizlere göre, CVE-2026-3300 olarak izlenen bu açık, CVSS skorunda 9.8 gibi yüksek bir değere sahip ve eklentinin 1.9.12 sürümüne kadar olan tüm versiyonlarını etkiliyor. Ticari bir form oluşturucu olan eklenti, yaklaşık 4000 aktif kuruluma sahip.
Açığın temelinde, eklentinin 'Calculation' eklentisi bulunuyor. Bu eklenti, form hesaplama formüllerini PHP'nin eval() fonksiyonu aracılığıyla çalıştırıyor. Gönderilen alan değerleri, PHP string'ine birleştirilirken, sanitize_text_field() fonksiyonu tek tırnak işaretlerini temizlemiyor. Bu sayede saldırgan, bir alan değerine tek tırnak ekleyerek string'den çıkabiliyor ve eval() tarafından çalıştırılacak PHP kodu enjekte edebiliyor. Yalnızca 'Karmaşık Hesaplama' özelliği aktif olan formlar bu saldırıya açık.
Başarılı bir saldırı, saldırganın yönetici hesabı oluşturmasına, web shell yerleştirmesine ve sitede kalıcı bir foothold elde etmesine olanak tanıyor. Wordfence telemetri verilerine göre, saldırılar 13 Nisan 2026'da başladı ve ilk saldırıda 'diksimarina' adlı bir yönetici hesabı oluşturulmaya çalışıldı. Güvenlik duvarı tarafından şu ana kadar 29.300'den fazla saldırı girişimi engellendi; 16 Mayıs'ta tek bir günde 17.900'ün üzerinde saldırı kaydedildi.
Uzmanların Görüşleri
Geliştirici WPEverest, açığı 1.9.13 sürümüyle giderdi. Kullanıcıların derhal bu sürüme güncelleme yapmaları öneriliyor. Açık, kamuoyuna duyurulduktan yaklaşık iki hafta sonra aktif olarak sömürülmeye başlandı. WordPress site yöneticilerinin, eklentiyi güncelleyerek ve güvenlik duvarı kullanarak bu tür saldırılara karşı önlem almaları kritik önem taşıyor.