Wordfence har offentliggjort en kritisk Remote Code Execution-sårbarhet i Everest Forms Pro, ett formulärplugin med uppskattningsvis 4 000 aktiva installationer. Sårbarheten kräver ingen inloggning – en angripare kan köra godtycklig PHP-kod på servern via ett vanligt formulär.
Tidslinjen
- 18 mars 2026 – leverantören släppte en patchad version
- 30 mars – Wordfence offentliggjorde sårbarheten
- 13 april – aktiva angrepp började observeras
- Idag – över 29 300 attackförsök har blockerats av Wordfence brandvägg
Vad gör attacken?
Angriparen skickar in ett preparerat formulärsvar som injicerar PHP-kod i pluginets beräkningsfunktion. Koden skapar ett nytt administratörskonto – och med admin-åtkomst kan angriparen ladda upp webshells, ändra teman och installera bakdörrar för permanent åtkomst.
Det här gör du nu
- Uppdatera Everest Forms Pro till version 1.9.13 eller senare – omedelbart
- Granska användarlistan – leta efter administratörskonton du inte känner igen
- Kolla efter okända filer i wp-content om sajten varit opatchad sedan mars
Misstänker du intrång?
Hittar du okända adminkonton eller filer är sajten sannolikt komprometterad – och då räcker det inte att uppdatera pluginet, för bakdörrarna ligger kvar. Vi rensar hackade WordPress-sajter till fast pris med 30 dagars garanti, och en säkerhetsöversyn minskar risken att det händer igen.
Teknisk analys hos Wordfence.
