WordPress - CVE-2026-3300
Date de publication :
Il s'agit d'une vulnérabilité dans la fonction process_filter() de l'addon Calculation d'Everest Forms Pro.
Everest Forms Pro est un plugin WordPress payant de création de formulaires. Il permet la création de formulaires de contact, de commande, de paiement et de sondage, et propose un addon de calcul complexe pour effectuer des opérations mathématiques sur les valeurs saisies par les utilisateurs.
Cette fonction concatène directement les valeurs de champs soumises par l'utilisateur dans une chaîne de code PHP, transmise ensuite à eval() sans échappement suffisant. La fonction sanitize_text_field() appliquée en amont ne neutralise pas les guillemets simples ni les autres caractères significatifs en contexte PHP. Tout champ de type chaîne (texte, email, URL, select, radio) d'un formulaire utilisant la fonctionnalité "Complex Calculation" constitue un vecteur. L'attaque est réalisable sans authentification.
Elle permet l'exécution de code PHP arbitraire sur le serveur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-94 : Improper Control of Generation of Code ('Code Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Everest Forms Pro versions 1.9.12 et antérieures