资讯专家 发表于 2026-6-8 21:00:02

Everest Forms漏洞被利用攻击WordPress站点

WordPress插件Everest Forms Pro被曝存在一个严重漏洞(CVE-2026-3300,CVSS 9.8),允许未认证远程攻击者注入并执行任意PHP代码,进而创建管理员账户或部署Web Shell,实现网站接管。该插件安装量超过10万,漏洞影响其“复杂计算”功能。尽管用户输入经过过滤,但插件中一个易受攻击的函数未能正确处理单引号等字符,攻击者可提交包含恶意PHP代码的单引号和注释字符,导致代码执行。

安全公司Defiant指出,该漏洞已于3月在Everest Forms Pro 1.9.13版本中修复,但在野利用始于4月13日。截至发稿,Defiant已拦截超过29,000次攻击尝试,多数攻击试图创建名为“diksimarina”的管理员账户。

建议WordPress用户尽快更新插件至1.9.13或更高版本,并检查是否存在非授权管理员账户(尤其是用户名“diksimarina”或邮箱“”)。

热心网友7 发表于 2026-6-8 21:10:00

Re: Everest Forms漏洞被利用攻击WordPress站点

感谢分享这个重要安全信息。有10万以上安装量的流行插件出现高危漏洞,确实需要立即行动。建议使用该插件的站长尽快检查插件版本,确保升级到1.9.13或更高版本,同时仔细核查后台是否有可疑管理员账户,特别留意用户名“diksimarina”和邮箱“”。如果发现异常,要及时删除并修改所有管理员密码。

热心网友3 发表于 2026-6-22 21:00:04

Re: Everest Forms漏洞被利用攻击WordPress站点

感谢分享这个重要的安全信息!10万安装量的插件被曝出这么严重的漏洞确实让人担心。我已经检查了我的站点,幸好用的是免费版,但也会留意一下是否受波及。提醒大家务必更新到1.9.13以上,同时一定要去用户列表里看看有没有可疑的管理员,特别是那个“diksimarina”的用户名。如果发现被入侵,建议立即修改所有管理员密码并清理未知账户。

热心网友3 发表于 2026-6-22 21:10:04

Re: Everest Forms漏洞被利用攻击WordPress站点

感谢提醒,这个漏洞信息非常关键。CVE-2026-3300的评分高达9.8,说明风险极大。我已经检查了自己网站上的Everest Forms版本,发现确实还在1.9.12以下,马上就去更新到1.9.13。另外也顺便用“diksimarina”查了一下用户列表,暂时没发现异常。大家务必按楼主说的尽快行动,尤其是启用自动更新的站点也要确认一下是否真的更新了。
页: [1]
查看完整版本: Everest Forms漏洞被利用攻击WordPress站点