Hackers estão explorando ativamente uma vulnerabilidade crítica no Everest Forms Pro, plugin para WordPress usado em cerca de 4 mil instalações ativas, para executar código arbitrário e assumir o controle completo de sites vulneráveis. A falha, rastreada como CVE-2026-3300, recebeu pontuação CVSS 9.8, indicando severidade crítica.

A vulnerabilidade afeta todas as versões do Everest Forms Pro até a 1.9.12, inclusive. A correção foi disponibilizada em 18 de março de 2026, com o lançamento da versão 1.9.13. Segundo a Wordfence, o problema está no recurso Calculation Addon, mais especificamente na função process_filter(), que concatena valores enviados por usuários em campos de formulário dentro de uma string de código PHP sem o tratamento adequado antes de repassá-la à função eval().

Na prática, isso significa que entradas fornecidas por visitantes do site podem ser interpretadas como código PHP pelo servidor. A Wordfence explicou que a função sanitize_text_field(), aplicada aos dados de entrada, não escapa aspas simples nem outros caracteres relevantes no contexto de código PHP. Com isso, atacantes não autenticados conseguem injetar e executar código arbitrário ao enviar valores especialmente criados em campos de texto, e-mail, URL, seleção ou radio button, desde que o formulário utilize o recurso “Complex Calculation”.

A exploração bem-sucedida da CVE-2026-3300 pode permitir que invasores executem comandos PHP diretamente no servidor, criem contas administrativas falsas, implantem web shells e estabeleçam mecanismos de persistência para manter acesso ao ambiente comprometido. Em um site WordPress, esse tipo de falha pode resultar em controle total da aplicação, alteração de conteúdo, roubo de dados, redirecionamentos maliciosos e uso da infraestrutura para novas campanhas.

De acordo com a Wordfence, os ataques começaram a ser observados em 13 de abril de 2026. Até o momento do relatório, mais de 29.300 tentativas de exploração contra a falha haviam sido bloqueadas. Desse total, 16 tentativas ocorreram nas últimas 24 horas analisadas pela empresa.

O payload mais comum identificado nas tentativas de ataque buscava criar uma conta de administrador chamada “diksimarina”, associada ao endereço de e-mail “diksimarina@gmail.com”, nos sites comprometidos. Essa técnica é recorrente em ataques contra WordPress, pois permite que o invasor obtenha acesso persistente ao painel administrativo mesmo após a exploração inicial.

As tentativas de exploração partiram dos endereços IP 202.56.2.126, 209.146.60.26, 15.235.166.18, 2402:1f00:8000:800::40db e 185.78.165.153, segundo os dados divulgados. Administradores de sites que utilizam o Everest Forms Pro devem verificar logs de acesso, revisar contas administrativas recém-criadas e garantir que o plugin esteja atualizado para a versão corrigida.

A divulgação ocorre em meio a novos alertas sobre campanhas de skimmers digitais contra lojas online. A Sansec identificou múltiplas operações voltadas ao roubo de dados de cartão, incluindo uma campanha que abusa da infraestrutura da Stripe como servidor de comando e controle e também como canal para exfiltração de informações roubadas.

Segundo a Sansec, os invasores tratam a Stripe como uma infraestrutura gratuita para armazenar dados roubados e hospedar partes do código do skimmer, aproveitando a boa reputação do domínio para escapar de regras de Content Security Policy e filtros de rede. Em muitos ambientes de e-commerce, domínios como api.stripe.com e googletagmanager.com são implicitamente confiáveis, o que facilita a passagem do tráfego malicioso.

A campanha usa Google Tag Manager e domínios da Stripe. O código malicioso é carregado a partir de um contêiner do GTM e executado em todas as páginas que o incluem. Em páginas de checkout do Magento e do Adobe Commerce, o loader extrai um skimmer ofuscado armazenado no campo de metadados de uma conta de cliente da Stripe, identificada no relatório como “cus_TfFjAAZQNOYENR”.

Depois de carregado, o skimmer coleta informações financeiras, endereços de cobrança, e-mails e números de telefone inseridos por usuários durante o processo de compra. Esses dados são armazenados temporariamente no localStorage do navegador e, em seguida, exfiltrados para a conta Stripe controlada pelo atacante.

A Sansec afirmou que cada cartão roubado passa a ser registrado como um “cliente” na conta do invasor. Após o envio bem-sucedido, o loader remove a entrada do localStorage para evitar que o mesmo registro seja transmitido duas vezes. Posteriormente, o atacante pode listar os cartões roubados utilizando a mesma API e a mesma chave, transformando a base de clientes da Stripe em um repositório durável para dados exfiltrados.

O registro da Stripe que continha o skimmer teria sido criado em 24 de dezembro de 2025, o que indica que a operação pode estar ativa desde então. A Sansec também identificou uma segunda variante do loader que utiliza o Google Firestore em vez da Stripe, mas com o mesmo objetivo: abusar de serviços confiáveis como canais encobertos de comunicação e armazenamento, reduzindo a chance de bloqueio por lojas virtuais.

As descobertas coincidem com uma operação em larga escala chamada GorgonAgora, que usou um cluster de 5.714 lojas falsas com domínio “.shop” para se passar por marcas conhecidas como Starbucks, Ford, Sony, Mattel, Hasbro, Lego, Disney e Toyota. As páginas de checkout desses sites direcionavam dados de cartão roubados para um único servidor de skimmer localizado na Moldávia. A campanha está em andamento desde agosto de 2025.

Segundo a Sansec, todas as lojas falsas utilizam a mesma stack de comércio Medusa.js e carregam o mesmo SDK de checkout personalizado, que renderiza um iframe falso da Stripe. A partir dele, os dados de cartão são exfiltrados por meio de um WebSocket criptografado para o servidor controlado pelos invasores.

A operação também mantém um relay ativo de 3D Secure. Quando o banco da vítima retorna um desafio 3DS, o operador repassa esse desafio ao comprador por meio do iframe falso, permitindo que a transação seja concluída enquanto o roubo permanece menos perceptível para a vítima.

Os casos mostram dois movimentos relevantes no cenário de ameaças contra aplicações web e e-commerce. De um lado, plugins vulneráveis do WordPress continuam sendo explorados como porta de entrada para controle de sites. De outro, grupos especializados em skimming estão abusando de serviços legítimos e amplamente confiáveis para hospedar código, comandar operações e armazenar dados roubados, dificultando a atuação de defesas baseadas apenas em reputação de domínio.

Para administradores de WordPress, a prioridade é atualizar imediatamente o Everest Forms Pro para a versão 1.9.13 ou superior, revisar usuários administrativos, procurar web shells e verificar alterações recentes em arquivos do site. Para equipes responsáveis por e-commerce, é importante revisar integrações com GTM, Stripe e outros serviços externos, validar scripts carregados em páginas de checkout e monitorar comportamentos anômalos no localStorage, chamadas para APIs de terceiros e conexões WebSocket inesperadas.