WordPress sotto attacco: la falla in Everest Forms Pro preoccupa

Una vulnerabilità critica nel plugin Everest Forms Pro espone migliaia di siti WordPress al rischio di compromissione totale.

Il problema, tracciato come CVE-2026-3300 con punteggio CVSS 9.8, consente l’esecuzione remota di codice senza alcuna autenticazione. Gli attacchi reali sono già documentati: le piattaforme di monitoraggio hanno registrato oltre 29.000 tentativi di exploit nelle settimane successive alla divulgazione della falla. La dinamica è ormai consolidata nel settore: i cybercriminali sorvegliano costantemente i plugin più diffusi e intervengono in tempi rapidi non appena emerge una vulnerabilità sfruttabile.

Come funziona la falla e quali rischi comporta

La vulnerabilità interessa tutte le versioni di Everest Forms Pro fino alla 1.9.12 inclusa e risiede nella funzionalità Complex Calculation, progettata per elaborare formule avanzate nei moduli.

Il problema tecnico è un utilizzo insicuro della funzione PHP eval(): durante l’elaborazione dei dati inviati tramite modulo, alcuni valori forniti dagli utenti vengono concatenati in una stringa PHP eseguita direttamente dal sistema. La sanificazione degli input non neutralizza adeguatamente caratteri speciali come gli apici singoli, rendendo possibile l’iniezione di codice arbitrario.

Un aggressore può costruire richieste malevole, inserirle nei campi del modulo e ottenere l’esecuzione diretta sul server, senza credenziali né accesso al pannello amministrativo. Una volta dentro, le conseguenze sono gravi: creazione di account amministrativi nascosti, installazione di backdoor permanenti, caricamento di web shell, campagne SEO fraudolente, reindirizzamenti verso siti di phishing e furto di dati dal database WordPress. Le analisi delle campagne osservate mostrano che il payload più diffuso punta proprio alla creazione automatica di utenti amministratori nascosti, garantendo un accesso persistente anche dopo la chiusura della falla.

Aggiornamento disponibile e verifiche post-compromissione

Lo sviluppatore ha rilasciato la versione 1.9.13 il 18 marzo 2026, che elimina il vettore di attacco noto.

Gli amministratori dovrebbero verificare immediatamente la versione installata e aggiornare senza ritardi. Tuttavia, l’aggiornamento non garantisce che un sito già compromesso torni automaticamente sicuro.

Se il sito è rimasto esposto dopo la pubblicazione della patch, è necessario eseguire controlli approfonditi: verificare la presenza di account amministrativi creati di recente, analizzare i file nelle directory wp-content e wp-admin, controllare i log di accesso e sostituire tutte le credenziali privilegiate. L’adozione di un Web Application Firewall aiuta a bloccare tentativi di sfruttamento noti, mentre il monitoraggio continuo dei log permette di individuare attività anomale prima che producano danni concreti.

Proteggere WordPress richiede aggiornamenti costanti

Il caso Everest Forms Pro conferma quanto una singola estensione vulnerabile possa diventare il punto di ingresso per compromettere un’intera infrastruttura. WordPress rimane il CMS più utilizzato al mondo, il che lo rende un bersaglio privilegiato.

Mantenere aggiornati plugin, temi e componenti aggiuntivi non è un’operazione facoltativa: è la misura di sicurezza più efficace disponibile per qualsiasi amministratore di sito.